NWS Nieuws & Achtergronden
Discussieer hier diepgaander over de actualiteiten.
Apple, Google, Facebook. Noem maar op. Grote kans dat die van jou er ook tussen zitten.
Lang leve 2FA
https://www.forbes.com/si(...)---change-yours-now/
Lang leve 2FA
https://www.forbes.com/si(...)---change-yours-now/
Ik heb het gebruik van een wachtwoordmanager heel lang zitten uitstellen, maar het gaat gebeuren nu.
100.000 katjes
Fuck the EBU!
Fuck the EBU!
Het enorme gebrek aan details doet vermoeden dat er iets op facebook hep gestaan.
Bestiality sure is a fun thing to do. But I have to say this as a warning to you:
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
Ik ben best fan van bitwarden.quote:Op donderdag 19 juni 2025 19:04 schreef Nattekat het volgende:
Ik heb het gebruik van een wachtwoordmanager heel lang zitten uitstellen, maar het gaat gebeuren nu.
Bestiality sure is a fun thing to do. But I have to say this as a warning to you:
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
Ik las in de bron iets over infostealers dus lijkt via malware op de devices van gebruikers buitgemaakt te zijn en niet bij de bedrijven zelf.quote:Op donderdag 19 juni 2025 19:05 schreef Jordy-B het volgende:
Het enorme gebrek aan details doet vermoeden dat er iets op facebook hep gestaan.
Ik heb inmiddels 402 wachtwoorden in mn wachtwoordkluis zitten.quote:
Ik heb het gebruik van een wachtwoordmanager heel lang zitten uitstellen, maar het gaat gebeuren nu.
Tijd voor een ultraveilige E-ID!!
Charlie: How's it going in there?
Alan: Whatever happened to zippers? I miss zippers.
Charlie: I don't know, Alan, maybe there were too many injuries. Nobody ever got their balls caught in a buttonhole
Alan: Whatever happened to zippers? I miss zippers.
Charlie: I don't know, Alan, maybe there were too many injuries. Nobody ever got their balls caught in a buttonhole
Ik had de zelf-gehoste variant al op het oogquote:
Moet alleen nog even fiksen dat ik er altijd bij kan, zelfs als m'n nas plots de geest geeft.
100.000 katjes
Fuck the EBU!
Fuck the EBU!
Ik heb al mijn gegevens in een schriftje staan.
Naam van website, gebruikersnaam en wachtwoord.
Ligt hier gewoon thuis op een veilige plek.
En ja, ik besef ook heus wel dat wanneer ik ergens inlog, dat het dan alsnog achterhaald kan worden.
Risico van het vak. Zouden er echt mensen bestaan die wachtwoorden hebben van meer dan 400 tekens?
Naam van website, gebruikersnaam en wachtwoord.
Ligt hier gewoon thuis op een veilige plek.
En ja, ik besef ook heus wel dat wanneer ik ergens inlog, dat het dan alsnog achterhaald kan worden.
Risico van het vak. Zouden er echt mensen bestaan die wachtwoorden hebben van meer dan 400 tekens?
Dat heeft ook niet heel veel toegevoegde waarde. Maar een wachtwoordmanager helpt je wel om willekeurig gegenereerde wachtwoorden te gebruiken en te toetsen of de wachtwoorden wel uniek zijn.quote:
Ik heb al mijn gegevens in een schriftje staan.
Naam van website, gebruikersnaam en wachtwoord.
Ligt hier gewoon thuis op een veilige plek.
En ja, ik besef ook heus wel dat wanneer ik ergens inlog, dat het dan alsnog achterhaald kan worden.
Risico van het vak. Zouden er echt mensen bestaan die wachtwoorden hebben van meer dan 400 tekens?
Bestiality sure is a fun thing to do. But I have to say this as a warning to you:
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
Ja was ook op internet rotzooitje deze week want ik wilde google chrome downloaden en bij het instaleren ging deze chrashen en dus maar andere browser gedownload...
Deze heeft wat te verbergen politie, AIVD, MIVD, NCTV ingelicht.quote:
Ik heb het gebruik van een wachtwoordmanager heel lang zitten uitstellen, maar het gaat gebeuren nu.
Ik 450quote:Op donderdag 19 juni 2025 19:06 schreef JopieKlaassen het volgende:
[..]
Ik heb inmiddels 402 wachtwoorden in mn wachtwoordkluis zitten.
Knapen die storneren willen moeten mannen met automatische incasso's zijn
Chrome moet je sowieso niet (meer) gebruiken.quote:
Ja was ook op internet rotzooitje deze week want ik wilde google chrome downloaden en bij het instaleren ging deze chrashen en dus maar andere browser gedownload...
Neem bv. Vivaldi.
Ik hoor hier verder niets van. Niet op de bekende security sites, niet van de partij die mijn werkgever inhuurt om dit soort dingen in de gaten te houden (die zijn nu wel een onderzoek begonnen om dit te achterhalen)
Maar voorlopig moet ik het houden op bullshit.
Waarschijnlijk kost deze fok! Post mijn werkgever dus een hoop geld 🤣
Maar voorlopig moet ik het houden op bullshit.
Waarschijnlijk kost deze fok! Post mijn werkgever dus een hoop geld 🤣
Tweet is alweer deleted?quote:Op donderdag 19 juni 2025 19:03 schreef onlogisch het volgende:
Apple, Google, Facebook. Noem maar op. Grote kans dat die van jou er ook tussen zitten.
Lang leve 2FA
[ x ]
[ afbeelding ]
https://www.forbes.com/si(...)---change-yours-now/
edit: ah nee, doet ut wel.
Daarom gebruik ik KeepassXC, die slaat lokaal een encrypted database op en die ik dan weer sync met Onedrive.quote:
[..]
Deze heeft wat te verbergen politie, AIVD, MIVD, NCTV ingelicht.
Ben je niet afhankelijk van een clouddienst password manager.
Ik ook, maar opgezegd, omdat ik nu de volledige suite van Proton gebruik, waar een pw manager bij in zit.quote:
Maar anders had ik met liefde mijn abbo bij Bitwarden gehouden.
Ja inderdaad, V. ja.
Maar... Onedrive?quote:
[..]
Daarom gebruik ik KeepassXC, die slaat lokaal een encrypted database op en die ik dan weer sync met Onedrive.
Ben je niet afhankelijk van een clouddienst password manager.
Ja inderdaad, V. ja.
Gebruik het op mijn werk ook.quote:
Werkt naar behoren maar zorg er wel voor dat het puur een backup is, als het afgesloten word dat ik niets kwijt ben.
Daarom heb ik ook nog een NAS draaien thuis.
Onedrive is dus echt alleen voor als mijn huis af brand.
Ja, snap ik, maar afsluiten id niet het enige risico met Onedrive.quote:
[..]
Gebruik het op mijn werk ook.
Werkt naar behoren maar zorg er wel voor dat het puur een backup is, als het afgesloten word dat ik niets kwijt ben.
Daarom heb ik ook nog een NAS draaien thuis.
Onedrive is dus echt alleen voor als mijn huis af brand.
https://security.stackexc(...)drive-personal-vault
Ja inderdaad, V. ja.
Ik ga er eigenlijk vanuit dat elke cloud storage mijn bestanden kan inzien, zeker als er een rechtelijk bevel achter zit.quote:
[..]
Ja, snap ik, maar afsluiten id niet het enige risico met Onedrive.
https://security.stackexc(...)drive-personal-vault
En eerlijk gezegd zoveel heb ik niet te verbergen dat ik me daar druk om moet maken.
Nou ja, je wachtwoorden, waarvoor je allerlei moeite doet omze lokaal te houden.quote:
[..]
Ik ga er eigenlijk vanuit dat elke cloud storage mijn bestanden kan inzien, zeker als er een rechtelijk bevel achter zit.
En eerlijk gezegd zoveel heb ik niet te verbergen dat ik me daar druk om moet maken.
Ja inderdaad, V. ja.
Die zijn lokaal encrypted, succes Microsoft om die te decrypten, lukt misschien wel maar dat is wel heel veel moeite voor mij alleen.quote:
[..]
Nou ja, je wachtwoorden, waarvoor je allerlei moeite doet omze lokaal te houden.
Ook zoiets; sowieso zodat digibete naasten (met wat hulp) verder kunnen als me iets zou overkomen.quote:
Ik heb al mijn gegevens in een schriftje staan.
Naam van website, gebruikersnaam en wachtwoord.
Ligt hier gewoon thuis op een veilige plek.
423...quote:
[..]
Ik heb inmiddels 402 wachtwoorden in mn wachtwoordkluis zitten.
Totdat deze wachtwoord manager gehackt wordt en je al je accounts in een keer kwijt bent.quote:
Ik heb het gebruik van een wachtwoordmanager heel lang zitten uitstellen, maar het gaat gebeuren nu.
Iemand die haat heeft tegen Elon Musk gunt succesvolle Afrikanen het licht niet in de ogen en is een racist bigot.
Hier hetzelfde, maar dan in een nostalgisch kaartenbakje (met van die correspondentiekaartjes).quote:
Ik heb al mijn gegevens in een schriftje staan.
Naam van website, gebruikersnaam en wachtwoord.
Ligt hier gewoon thuis op een veilige plek.
Makkelijk voor alle NAW gegevens, maar ook voor wachtwoorden, internet (aankopen), klusjesmannen etc.
Vooral handig dat je aantekeningen kan maken op die kaartjes/schriftje en dat je alles ook terug kan vinden als de computer het helemaal niet meer doet.
Bij deze zal ik een van die wachtwoorden lekker delen: pass123
Nou, vooruit, nog eentje: whatsupnigga
Pfoe, wat verschrikkelijk!
Nou, vooruit, nog eentje: whatsupnigga
Pfoe, wat verschrikkelijk!
Net via ChatGPT mn wachtwoord en e-mailadres ingevuld en gevraagd of deze is gehackt, maar gelukkig niet. 
Mijne: ********quote:
Bij deze zal ik een van die wachtwoorden lekker: pass123
Pfoe, wat verschrikkelijk!
edit: huh als je je wachtwoord typt vervangt hij het door sterrentjes, grappig.
Ja, of negerinnentettenquote:Op donderdag 19 juni 2025 21:55 schreef nelaeryn het volgende:
Niet gewoon overal berenpak2 als wachtwoord gebruiken
of 5euroopjemuilgauw! [ Bericht 3% gewijzigd door Kamelenteen op 19-06-2025 22:21:28 ]
1qaz2wsx3edcquote:
Bij deze zal ik een van die wachtwoorden lekker delen: pass123
Nou, vooruit, nog eentje: whatsupnigga
Pfoe, wat verschrikkelijk!
Precies 16 Miljard? Klinkt echt heel spannend, als je in 2025 nog geen random password kluis gebruikt, verdien je het wel een beetje
What lies behind makes no sense in my mind
Maar dit zijn toch geen onversleutelde wachtwoorden? Lijken me gehashed, 16 miljard ongehashed lijkt me sterk.
16 Miljard wachtwoorden is wat anders dan 16 miljard unieke wachtwoorden.
qwertyuiop zal er vast heel vaak instaan.
qwertyuiop zal er vast heel vaak instaan.
Op 
Ik gebruik iets van 20 wachtwoorden ofzo, heb helemaal geen zin om deze te wijzigen. Is er ergens extra bevestiging van dit bericht?
-nee-
Vergeet MFA niet bij belangrijke accounts zoals je mail.quote:
Ik heb het gebruik van een wachtwoordmanager heel lang zitten uitstellen, maar het gaat gebeuren nu.
Op maandag 9 oktober 2023 13:31 schreef Nova het volgende:[/b]
Oh schatje, wat lief van je om dat te zeggen! Jij bent echt een prins op het witte paard voor mij. Met jou voel ik me zo geliefd en speciaal. Laten we nog lang samen genieten van sprookjesachtige avonturen en elkaar verwennen met veel knuffels en kusjes. O+ naar jou, mijn lieve prins! :*
Oh schatje, wat lief van je om dat te zeggen! Jij bent echt een prins op het witte paard voor mij. Met jou voel ik me zo geliefd en speciaal. Laten we nog lang samen genieten van sprookjesachtige avonturen en elkaar verwennen met veel knuffels en kusjes. O+ naar jou, mijn lieve prins! :*
Ik ga ook niet al mijn pws vervangen, maar wel de belangrijke. Is sowieso goed om eens in de zoveel tijd te doen.quote:
Ik gebruik iets van 20 wachtwoorden ofzo, heb helemaal geen zin om deze te wijzigen. Is er ergens extra bevestiging van dit bericht?
Ja inderdaad, V. ja.
Geen enkel bedrijf slaat de wachtwoorden op, ze slaan alleen de hashes op. En van een hash kun je geen wachtwoord terug halen.quote:
[..]
Ik las in de bron iets over infostealers dus lijkt via malware op de devices van gebruikers buitgemaakt te zijn en niet bij de bedrijven zelf.
Alla, als er een te kleine hash werd gebruikt kun je met brute force nog wachtwoorden terug berekenen. Maar niet 16 miljard, daar zijn computers te langzaam voor, en quantum computers nog veel te duur en slecht verkrijgbaar voor.
Dus moeten die wachtwoorden client-side zijn opgepikt, de letters die iemand intikt, ergens met behulp van een man-in-the-middle attack.
Wat uiterst belangrijk in dit verhaal is (maar wat niet verteld wordt), is welke web browser hier voor verantwoordelijk is geweest.
Wat mensen niet beseffen is dat het helemaal niet zo hoeft te zijn dat er 16 miljard wachtwoorden gestolen zijn, en dat er helemaal geen datalek was.quote:
Ik gebruik iets van 20 wachtwoorden ofzo, heb helemaal geen zin om deze te wijzigen. Is er ergens extra bevestiging van dit bericht?
Wat wel kan zijn is dat juist in de afgelopen dagen heel veel computers onwetend geïnfecteerd zijn met malware dat in staat is om passwords af te vangen. En dat die malware een half uur voor dit bericht gepubliceerd werd is geactiveerd. Waardoor miljoenen mensen nu snel hun password gaan aanpassen. En de malwareontwikkelaars JUIST nu alle nieuwe passwords van al die mensen aan het afvangen is. Dan is juist iedereen die zijn password naar aanleiding van dit bericht verandert de l*l.
Ook een belangrijke overweging om te maken...
Je kan niet wantrouwig genoeg zijn, als je het over beveiliging van je persoonsgegevens hebt.
Er is ook helemaal niet zo veel haast bij om je passwords te gaan vervangen als dat het zou lijken. Denk eens over het getal 16 miljard na. Hoe lang gaat het duren om misbruik te maken van 16 miljard accounts?
Natuurlijk is één en ander wel afhankelijk van hoe rijk, invloedrijk en machtig je bent. Als ze Rutte z'n wachtwoorden hebben, dan is de kans miljarden malen groter dat ze zijn accounts zullen misbruiken, dan dat ze mijn of jouw account zullen misbruiken.
Dus niet direkt reden tot paniek. Tenzij je rijk, invloedrijk en/of machtig bent.
Natuurlijk is één en ander wel afhankelijk van hoe rijk, invloedrijk en machtig je bent. Als ze Rutte z'n wachtwoorden hebben, dan is de kans miljarden malen groter dat ze zijn accounts zullen misbruiken, dan dat ze mijn of jouw account zullen misbruiken.
Dus niet direkt reden tot paniek. Tenzij je rijk, invloedrijk en/of machtig bent.
Dit lijkt een herhaling van nieuws van 3 à 6 maanden terug te zijn: https://news.ycombinator.com/item?id=44322961
When the student is ready, the teacher will appear.
When the student is truly ready, the teacher will disappear.
When the student is truly ready, the teacher will disappear.
Ik gebruik voor elk user account dat ik aanmaak een unieke gmail email. Als je bijvoorbeeld een account 'ikke@gmail.com' hebt, dan kun je een ongelimiteerd aantal 'ikke+[iets]@gmail.com' gebruiken. Bijvoorbeeld 'ikke+123inkt@gmail.com', 'ikke+fok@gmail.com', etc.
Hoef je niks anders voor te doen dan dat email te bedenken, want je gmail email is een catch-all adres. Alles dat naar 'ikke+[whatever]@gmail.com' gestuurd wordt komt gewoon aan op 'ikke@gmail.com'. Maar als iemand een email naar bijvoorbeeld 'ikke+fok@gmail.com' heeft gestuurd, dan zie je dat in je email programma.
En zo kun je dus zien of jouw email tegen je wil is doorgegeven, of dat de database van het bedrijf waar je die email hebt opgegeven is gehacked.
Zo heb ik dus bij 123inkt het email '[privéinfo]+123inkt@gmail.com' gebruikt. En tot mijn verbazing kreeg ik een jaar later ineens phishing en afpersings emails met dat email adres.
Dus 123inkt heeft mijn email adres weggegeven, waar ik geen toestemming voor heb gegeven. Of 123inkt is gehacked, wat ze niet hebben gemeld.
123inkt staat nu dus op mijn zwarte lijst, ik vertrouw ze niet meer. Ze hebben mij als klant verloren.
Daarom is het zo veel beter voor bedrijven om het meteen te melden wanneer ze gehacked zijn, want dat is de enige manier om tenminste nog iets van hun reputatie te redden.
Hoef je niks anders voor te doen dan dat email te bedenken, want je gmail email is een catch-all adres. Alles dat naar 'ikke+[whatever]@gmail.com' gestuurd wordt komt gewoon aan op 'ikke@gmail.com'. Maar als iemand een email naar bijvoorbeeld 'ikke+fok@gmail.com' heeft gestuurd, dan zie je dat in je email programma.
En zo kun je dus zien of jouw email tegen je wil is doorgegeven, of dat de database van het bedrijf waar je die email hebt opgegeven is gehacked.
Zo heb ik dus bij 123inkt het email '[privéinfo]+123inkt@gmail.com' gebruikt. En tot mijn verbazing kreeg ik een jaar later ineens phishing en afpersings emails met dat email adres.
Dus 123inkt heeft mijn email adres weggegeven, waar ik geen toestemming voor heb gegeven. Of 123inkt is gehacked, wat ze niet hebben gemeld.
123inkt staat nu dus op mijn zwarte lijst, ik vertrouw ze niet meer. Ze hebben mij als klant verloren.
Daarom is het zo veel beter voor bedrijven om het meteen te melden wanneer ze gehacked zijn, want dat is de enige manier om tenminste nog iets van hun reputatie te redden.
Dat heeft Last Pass ook de nek om gedaan. Die waren niet erg scheutig met informatie toen ze gehackt werden en ze kwamen er pas veel later mee over de brug dat er daadwerkelijk versleutelde wachtwoorden waren buitgemaaktquote:
Daarom is het zo veel beter voor bedrijven om het meteen te melden wanneer ze gehacked zijn, want dat is de enige manier om tenminste nog iets van hun reputatie te redden.
Bestiality sure is a fun thing to do. But I have to say this as a warning to you:
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
With almost all animals you can have a ball, but the hedgehog can never be buggered at all.
Er was daar fundamenteel zoveel fout dat het bijna crimineel is, wat daar gebeurde is dat je eigenlijk inlogde op 1 grote sleutelkluis waar je dan alleen toegang had tot je eigen spulletjes, wat er gebeurde was dat de grote sleutelkluis compromised raakte, inclusief al die gebruikers. Vanuit een security perspectief heeft elke kluis zijn eigen sleutel die doorgaans gebaseerd is op een door een gebruiker aangemaakte key, op die manier kan dus ook de gene die de kluis in bewaring heeft niet bij de passwords of data. Dit is ook het principe wat de meeste privacy diensten zoals Proton en Tutanota aanhouden, op het moment dat je de dienst gebruikt word de data aan jouw kant unencrypted en om die reden zijn opsporingsdiensten kansloos met data verzoeken, ze kunnen hooguit een encrypted zipje geven en met de woorden: Veel plezier, wij hebben de key ook niet.quote:
[..]
Dat heeft Last Pass ook de nek om gedaan. Die waren niet erg scheutig met informatie toen ze gehackt werden en ze kwamen er pas veel later mee over de brug dat er daadwerkelijk versleutelde wachtwoorden waren buitgemaakt
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
En dan wil ik er ook nog even op wijzen dat het ook mogelijk is om een password store te maken die helemaal client-side opslag heeft. Het is niet nodig om die gegevens centraal op te slaan. Het kan decentraal op de devices van de gebruiker zelf. Moet je alleen regelmatig even syncen. En dat is een kleine moeite voor het zelf behouden van je eigen data.quote:
[..]
Er was daar fundamenteel zoveel fout dat het bijna crimineel is, wat daar gebeurde is dat je eigenlijk inlogde op 1 grote sleutelkluis waar je dan alleen toegang had tot je eigen spulletjes, wat er gebeurde was dat de grote sleutelkluis compromised raakte, inclusief al die gebruikers. Vanuit een security perspectief heeft elke kluis zijn eigen sleutel die doorgaans gebaseerd is op een door een gebruiker aangemaakte key, op die manier kan dus ook de gene die de kluis in bewaring heeft niet bij de passwords of data. Dit is ook het principe wat de meeste privacy diensten zoals Proton en Tutanota aanhouden, op het moment dat je de dienst gebruikt word de data aan jouw kant unencrypted en om die reden zijn opsporingsdiensten kansloos met data verzoeken, ze kunnen hooguit een encrypted zipje geven en met de woorden: Veel plezier, wij hebben de key ook niet.
Een voorbeelden van hoe het kan is Yivi: https://yivi.app/
Yivi is geen password store op zich, overigens, ik haalde het alleen aan als voorbeeld van hoe apps gewoon de gegevens op je telefoon kunnen houden en niet ergens in de VS of China op een server. Maar toch zal ik er even over uitwijden.
Yivi is een authenticatie app, en KAN wel gebruikt worden voor authenticatie op websites. Maar met Yivi hoef je niet eens passwords meer te gebruiken. Je authenticeert jezelf met een minimale set privégegevens die op zichzelf al geauthenticeerd zijn. Zelfs Yivi heeft geen mogelijkheden om jouw store in te zien.
Het enige dat Yivi doet is, dat als jij wat gegevens aan een website doorgeeft (bijvoorbeeld je voornaam en achternaam), die website bij Yivi kan controleren dat die gegevens authentiek en onvervalst zijn, dwz. dat jij werkelijk bent wie je zegt dat je bent. En dat is genoeg authenticatie voor een account, geen password meer nodig.
Eigenlijk heb je zelfs geen account meer nodig. Want je kan kiezen om meer soorten gegevens op te slaan (adres, creditcard) en vrij te geven tijdens je authenticatie. Je kan zelfs per sessie kiezen wat je wil vrijgeven, en wanneer de website meer gegevens nodig heeft (bijvoorbeeld een verzendadres) kun je die vrijgeven wanneer dat nodig is. Dus de website hoeft helemaal niets meer op te slaan, je geeft het gewoon wanneer het nodig is (of je geeft het niet, als je dat niet wil), en alles is geauthenticeerd en er is bewezen dat jij het bent waar die informatie toe behoort en dat jij werkelijk bent wie je zegt dat je bent.
Sorry dat dit een beetje ongewild in een plug voor Yivi is geeïndigd. Maar het ging er om dat het om te beginnen al helemaal niet eens nodig is om een username en password, of zelfs maar een account, bij een website te hebben. En dat er daarmee ook niets meer te stelen valt.
Is een grote verzameling van oude wachtwoord hacks en dergelijke.
Dit “het is een nieuwe data base breach” is onzin.
Het komt dus voort uit een opeenstapeling van eerdere succesvolle hacks zoals bij Facebook aantal jaren geleden.
Dit “het is een nieuwe data base breach” is onzin.
Het komt dus voort uit een opeenstapeling van eerdere succesvolle hacks zoals bij Facebook aantal jaren geleden.
Ik kan van harte protonpass aanraden. Zelfs de free version is beter dan de betaalde versie bij andere concurrenten.quote:
Ik heb het gebruik van een wachtwoordmanager heel lang zitten uitstellen, maar het gaat gebeuren nu.
A person who was demoralized is unable to assess true information. The facts tell nothing to him, even if I shower him with information, with authentic proof, with documents and pictures. ...he will refuse to believe it.
Ik gebruik overal hetzelfde gelekte wachtwoord behalve voor echt belangrijke zaken als email.quote:
Precies 16 Miljard? Klinkt echt heel spannend, als je in 2025 nog geen random password kluis gebruikt, verdien je het wel een beetje
1/10 Van de rappers dankt zijn bestaan in Amerika aan de Nederlanders die zijn voorouders met een cruiseschip uit hun hongerige landen ophaalde om te werken op prachtige plantages.
"Oorlog is de overtreffende trap van concurrentie."
"Oorlog is de overtreffende trap van concurrentie."
Geen enkel bedrijf zou ik niet te snel zeggen, er zijn er nog genoeg die het in plain-text opslaan.quote:
[..]
Geen enkel bedrijf slaat de wachtwoorden op, ze slaan alleen de hashes op. En van een hash kun je geen wachtwoord terug halen.
Alla, als er een te kleine hash werd gebruikt kun je met brute force nog wachtwoorden terug berekenen. Maar niet 16 miljard, daar zijn computers te langzaam voor, en quantum computers nog veel te duur en slecht verkrijgbaar voor.
Dus moeten die wachtwoorden client-side zijn opgepikt, de letters die iemand intikt, ergens met behulp van een man-in-the-middle attack.
Wat uiterst belangrijk in dit verhaal is (maar wat niet verteld wordt), is welke web browser hier voor verantwoordelijk is geweest.
En wat ik aangaf; malware en andere manieren zoals phishing zijn hier hoofdzakelijk het probleem. En natuurlijk gebruikers die overal dezelfde wachtwoorden gebruiken, éénmaal gelekt kunnen ze dan ook op andere plekken inloggen met die gegevens.
Grootste probleem is de gebruiker die niet goed met wachtwoorden omgaat, ten prooi valt aan malware of in phishing trapt.
Ik denk dat Hackers adresgegevens en telefoonnummer tegenwoordig interessanter vinden dan je wachtwoord, voor mensen die nogal privacy bewust zijn zou ik dan ook afraden om e-commerce bestellingen bij je huis te laten bezorgen.quote:
[..]
Geen enkel bedrijf zou ik niet te snel zeggen, er zijn er nog genoeg die het in plain-text opslaan.
En wat ik aangaf; malware en andere manieren zoals phishing zijn hier hoofdzakelijk het probleem. En natuurlijk gebruikers die overal dezelfde wachtwoorden gebruiken, éénmaal gelekt kunnen ze dan ook op andere plekken inloggen met die gegevens.
Grootste probleem is de gebruiker die niet goed met wachtwoorden omgaat, ten prooi valt aan malware of in phishing trapt.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Toch wel bizar dat het ze blijft lukken, vooral bij deze bedrijven.
God was in Christ, reconciling the world unto himself, not imputing their trespasses unto them;
Wel handig als je op FOK! je wachtwoord typt wordt het automatisch weggehaald.
**********
**********
Intel Pentium 4 2.4GHz HT (Northwood, 130nm, 512KB L2, 800MHz FSB)
Intel Extreme Graphics 2 (64MB allocated)
1GB DDR 400MHz CL2 or 3
Maxtor DiamondMax Plus 10 160GB IDE
Intel Extreme Graphics 2 (64MB allocated)
1GB DDR 400MHz CL2 or 3
Maxtor DiamondMax Plus 10 160GB IDE
Berenpak2!quote:
Wel handig als je op FOK! je wachtwoord typt wordt het automatisch weggehaald.
**********
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Ik kan me dat niet zo goed voorstellen. Omdat die bedrijven software inkopen en niet zelf door een amateur in elkaar laat hacken. En geen enkele software leverancier slaat passwords in plain text op. Al sinds de jaren '70 worden passwords als hashes opgeslagen en gebruikt men Kerberos of vergelijkbare systemen voor authenticatie.quote:
[..]
Geen enkel bedrijf zou ik niet te snel zeggen, er zijn er nog genoeg die het in plain-text opslaan.
Maar browsers handelen kale toetsenbordaanslagen af. En de operating systems waar die browsers op draaien ook. De attack-vector ligt dus daar, meest waarschijnlijk tussen het OS en de browser in. Man-in-the-middle.
Ik heb op Windows wel eens een programma geschreven dat zichzelf on-the-fly inhaakte in DLL entrypoints en zo alle data kon afvangen. Het was verrassend makkelijk. Wat ook belangrijk was, was dat ik mijn 'malicious' code ook in het geheugenblok van de DLL kon zetten, want geheugen werd in blokken gealloceerd en er was dus extra ongebruikte ruimte. En het hele OS wist er vervolgens niets van af. In mijn geval was het een downloader, die gewoon in de achtergrond software ging downloaden en installeren.
Dat werkte toen zelfs nog in Windows XP. Ik zit al lang niet meer in Windows software, maar ik ben benieuwd of het nog steeds zo makkelijk is.
Microsoft had het heel makkelijk kunnen oplossen door een hash te maken van het geheugenblok waar de DLL in geladen was, en die hash regelmatig te controleren. Want er is geen reden voor het geheugenblok van een DLL om te veranderen, wanneer die eenmaal is ingeladen.
De techniek die ik gebruikte, was overigens exact dezelfde techniek die McAfee gebruikte voor zijn virusscanner. Het was dus volledig 'legaal', EN compleet onveilig. Oh ja, EN McAfee detecteerde het niet eens, omdat die dacht dat het zijn eigen code was.
Alla, ik dwaal af.
Mijn punt was dat ik wel heel, heel zeker weet dat die passwords aan de client-zijde worden gescand door malicious software.
Met emails en persoonlijke informatie is het wat anders. Die worden vanwege performance redenen echt zelden versleuteld opgeslagen op servers. Ik heb het maar bij 1 werkgever meegemaakt, en dat was een bedrijf dat medische gegevens opsloeg en dus aan bepaalde regels moet voldoen, waar af en toe ook een audit op werd gedaan. Emails worden dus wel massaal gestolen met die hacks.
Hier ben ik het volledig met je eens. Phishing levert meer op dan wanneer je op accounts van mensen in kan loggen.quote:
[..]
Ik denk dat Hackers adresgegevens en telefoonnummer tegenwoordig interessanter vinden dan je wachtwoord, voor mensen die nogal privacy bewust zijn zou ik dan ook afraden om e-commerce bestellingen bij je huis te laten bezorgen.
Overigens helpt 2FA natuurlijk ontzettend.
Maar kijk eens naar je email programma... Als je gebruik maakt van IMAP, dan is 2FA niet (goed) mogelijk. En dus is je email account inherent onveilig. Mensen zouden jouw account kunnen gebruiken om emails te sturen.
Oh ja, en met SMTP kun je alles en iedereen invullen voor afzender. Ik heb nog wel eens voor de grap emails rondgestuurd van "sinterklaas@dak.ergens.in.nl". Wordt door sommige SMTP server nog steeds gewoon geaccepteerd.
Dat is wel heel slecht, SPIF/DKIM bestaat toch echt al 15 jaar.quote:
[..]
Hier ben ik het volledig met je eens. Phishing levert meer op dan wanneer je op accounts van mensen in kan loggen.
Overigens helpt 2FA natuurlijk ontzettend.
Maar kijk eens naar je email programma... Als je gebruik maakt van IMAP, dan is 2FA niet (goed) mogelijk. En dus is je email account inherent onveilig. Mensen zouden jouw account kunnen gebruiken om emails te sturen.
Oh ja, en met SMTP kun je alles en iedereen invullen voor afzender. Ik heb nog wel eens voor de grap emails rondgestuurd van "sinterklaas@dak.ergens.in.nl". Wordt door sommige SMTP server nog steeds gewoon geaccepteerd.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Ik denk dat dit gewoon iemand is die de boel wil neppen.
Bedrijven die zo groot zijn als Google en Meta slaan echt de wachtwoorden niet op. Ze slaan hashes op in een database die wel erg goed beveiligd is.
Dit is gewoon FUD (Fear Uncertainty Doubt). Vraag is: wat wil die knakker daarmee bereiken?
Bedrijven die zo groot zijn als Google en Meta slaan echt de wachtwoorden niet op. Ze slaan hashes op in een database die wel erg goed beveiligd is.
Dit is gewoon FUD (Fear Uncertainty Doubt). Vraag is: wat wil die knakker daarmee bereiken?
Voor de meeste mensen zijn de gevolgen dan ook helemaal niet erg.quote:
Precies 16 Miljard? Klinkt echt heel spannend, als je in 2025 nog geen random password kluis gebruikt, verdien je het wel een beetje
Geen enkele “gehackt ww” waarschuwing vanuit apple bijv.
Die geven dat echt wel aan zodra dit ergens gelekt is of bekend is.
Die geven dat echt wel aan zodra dit ergens gelekt is of bekend is.
Dat is sowieso de beste oplossing.quote:
Ik gebruik geen wachtwoorden want ik heb niks te verbergen.
Ja inderdaad, V. ja.
secops kwam op mijn werk ook voorbij met dit bericht maar ze hadden eigenlijk grote twijfel of het echt was
zelf gebruik ik een passwordmanager met als 2fa methode een yubikey als dit mogelijk is(op fok niet bijvoorbeeld)
zelf gebruik ik een passwordmanager met als 2fa methode een yubikey als dit mogelijk is(op fok niet bijvoorbeeld)
I think that it’s extraordinarily important that we in computer science keep fun in computing
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
For all who deny the struggle, the triumphant overcome
Met zwijgen kruist men de duivel
Bij ons ook niks van gehoord, overigens staat de boel hier wel op scherp, teams staan bijna allemaal op standby deze week.quote:Op zondag 22 juni 2025 12:08 schreef FlippingCoin het volgende:
secops kwam op mijn werk ook voorbij met dit bericht maar ze hadden eigenlijk grote twijfel of het echt was
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
|
|
