LOL, iedereen weet dat MD5 zo uit is dacht ik? Dat allemaal wegens veiligheidslekken, stap over op SHA1 / SHA512 zou ik zeggen :-)

http://www.veiliginternetten.nl/

Snel gereageerd!

doe ik morgen wel..

really?

quote:

Op zaterdag 22 augustus 2009 @ 21:59 schreef Manueltje22 het volgende:
LOL, iedereen weet dat MD5 zo uit is dacht ik? Dat allemaal wegens veiligheidslekken, stap over op SHA1 / SHA512 zou ik zeggen :-)

Dat maakt niet uit, Hij had fok niet moeten plat gooien en rommelen..
das net als huis inbraak!.

Breaking news

MD5? Srsly?

Dat is al zo oud en onveilig, stap aub over op iets als Whirlpool of Sha512

quote:

Op zaterdag 22 augustus 2009 @ 21:59 schreef Manueltje22 het volgende:
LOL, iedereen weet dat MD5 zo uit is dacht ik? Dat allemaal wegens veiligheidslekken, stap over op SHA1 / SHA512 zou ik zeggen :-)

Gewoon niet van die standaardwachtwoorden gebruiken.

quote:

Op zaterdag 22 augustus 2009 @ 22:00 schreef NrTH het volgende:
Breaking news

Het lijkt me van belang dat zoveel mogelijk mensen hun password inderdaad aanpassen. Zo'n blok op de index draagt daar wel aan bij lijkt me.

quote:

Op zaterdag 22 augustus 2009 @ 22:01 schreef GeileSoeplepel het volgende:
MD5? Srsly?

Dat is al zo oud en onveilig, stap aub over op iets als Whirlpool of Sha512

dat boeit geen kont. De manier om het te hacken is hetzelfde. Hoe korter en simpeler je wachtwoord hoe sneller iemand het kan hacken als hij de hashversie van je pass heeft.

Huh wat heeft zo'n gozer eraan als hij mijn passwoord weet? Dan kan hij onder mijn naam posten maar wat boeit dat voor de rest, net alsof die gozer daar echt wat aan heeft.

een DDOS en een hack en dat houdt geen verband?

Of is een DDOS dagelijkse kost

quote:

Op zaterdag 22 augustus 2009 @ 21:59 schreef Manueltje22 het volgende:
LOL, iedereen weet dat MD5 zo uit is dacht ik? Dat allemaal wegens veiligheidslekken, stap over op SHA1 / SHA512 zou ik zeggen :-)

Je kan niet zomaar even de hele DB omgooien lijkt me. Of je moet de gehashte wachtwoorden zelf omzetten in SHA1, al heb je dan weer het 'probleem' dat je bij het inloggen dus dubbel moet hashen. plain -> MD5 -> SHA1.

sorry, maar ik kan nergens vinden waar ik mijn wachtwoord moet wijzigen

Je huidig password, of staan er in de database ook nog je vorige passwords?

mja, 12345 is ook geen echt bijzonder wachtwoord

Altijd alfanumerieke onzin wachtwoorden.

quote:

Op zaterdag 22 augustus 2009 @ 22:03 schreef Geqxon het volgende:
Je huidig password, of staan er in de database ook nog je vorige passwords?

oude passwords worden niet opgeslagen.

quote:

Op zaterdag 22 augustus 2009 @ 22:04 schreef Genietmachine het volgende:
mja, 12345 is ook geen echt bijzonder wachtwoord

HOE WEET JIJ MIJN PASSWORD!?!

quote:

Op zaterdag 22 augustus 2009 @ 22:01 schreef Danny het volgende:

[..]

Het lijkt me van belang dat zoveel mogelijk mensen hun password inderdaad aanpassen. Zo'n blok op de index draagt daar wel aan bij lijkt me.

Een idee:

Je kunt ook iedereen zijn wachtwoord veranderen (softwarematisch) , en dit nieuwe wachtwoord mailen, dan kunnen ze zelf deze veranderen.

quote:

Op zaterdag 22 augustus 2009 @ 22:03 schreef Zero2Nine het volgende:

[..]

Je kan niet zomaar even de hele DB omgooien lijkt me. Of je moet de gehashte wachtwoorden zelf omzetten in SHA1, al heb je dan weer het 'probleem' dat je bij het inloggen dus dubbel moet hashen. plain -> MD5 -> SHA1.

Zo hé, die is goed met wachtwoorden......

quote:

Op zaterdag 22 augustus 2009 @ 22:03 schreef Sannydance het volgende:
sorry, maar ik kan nergens vinden waar ik mijn wachtwoord moet wijzigen

Probeer het op de forumpagina

Danny, ik heb je een PM gestuurd. Kun je geen push-PM sturen en/of een pop-up met daarin de mogelijkheid om het wachtwoord te veranderen?

Bedankt, even wachtwoord veranderd

quote:

Op zaterdag 22 augustus 2009 @ 22:05 schreef Danny het volgende:
oude passwords worden niet opgeslagen.

Jullie zouden ervoor kunnen zorgen dat de gebruikers bijvoorbeeld minimaal één cijfer en één bijzonder teken in hun password moeten hebben. Dat kan al heel veel schelen.

quote:

Op zaterdag 22 augustus 2009 @ 22:06 schreef flexino het volgende:

[..]

Jullie zouden ervoor kunnen zorgen dat de gebruikers bijvoorbeeld minimaal één cijfer en één bijzonder teken in hun password moeten hebben. Dat kan al heel veel schelen.

Als de passwords uit de database gehaald worden dan maakt het niets uit.

quote:

Op zaterdag 22 augustus 2009 @ 22:03 schreef Sannydance het volgende:
sorry, maar ik kan nergens vinden waar ik mijn wachtwoord moet wijzigen

http://forum.fok.nl/user/profile

zo. paswoord changed

En stel ook gelijk een nieuw wachtwoord voor je e-mail in als dat hetzelfde is.

Ik zag in de itemstracker op tweakers.net op een gegeven moment ook alleen maar berichten staan met de headline "De Koran nu ook als luisterboek beschikbaar"

Zal wel weer zo'n kut marrokaan zijn geweest dus.

quote:

Op zaterdag 22 augustus 2009 @ 21:59 schreef Manueltje22 het volgende:
LOL, iedereen weet dat MD5 zo uit is dacht ik? Dat allemaal wegens veiligheidslekken, stap over op SHA1 / SHA512 zou ik zeggen :-)

Wieuw wieuw nerd alert wieuw wieuw.

salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts. (Get the idea? )

Klinkt allemaal niet echt professioneel aan de achterkant van fok! als ik eerlijk ben. Het ingestelde rechtensysteem van de database laat gewoon toe dat gevoelige info opgevraagd wordt?

heeft hij echt alleen passwords gepakt uit de database of passwords EN e-mailadressen van iedereen?

Geen salt in het gehashte wachtwoord? Zo'n kleine moeite, had zoveel problemen gescheeld.

quote:

Op zaterdag 22 augustus 2009 @ 22:07 schreef Ron.Burgundy het volgende:

[..]

Als de passwords uit de database gehaald worden dan maakt het niets uit.

Nou die zijn iig iets lastiger te raden dan een woordenboekwoord zonder deze tekens. Hoewel dat tegenwoordig denk ik inderdaad niet zoveel meer uitmaakt. Van wachtwoorden als woord + cijfer of woord + uitroepteken zijn de hashes ook vast al een keer uitgerekend.

Nog even een tip, als je dezelfde toegangscode gebruikt als voor je e-mail (een hoop mensen zijn zo stom) verander dan ook je e-mail password voordat iemand je mail gaat lezen en zo verdere passwords verkrijgt zoals paypal en dergelijke

quote:

Op zaterdag 22 augustus 2009 @ 22:03 schreef Gehannes het volgende:
Huh wat heeft zo'n gozer eraan als hij mijn passwoord weet? Dan kan hij onder mijn naam posten maar wat boeit dat voor de rest, net alsof die gozer daar echt wat aan heeft.

En dan krijg je een permban. Had "jij" maar geen porno moeten posten of de crew voor SS'ers uit moeten maken, en die doodsbedreiging naar de admins moeten sturen. Of je ziet in je profiel ineens staan dat "jij" gek op kinderporno bent en dat je admin op Stormfront bent.

Je begrijpt nu vast wel wat ik bedoel. Het is natuurlijk ook niet gezegd dat zo'n hacker dat echt gaat doen en echt jouw inloggegevens heeft, maar wil je zekerheid hebben dat het niet gebeurt dan kun je beter even je wachtwoord veranderen.

Ik dacht dat het aan mijn vers geinstalleerde Vista-PC lag, ik kon de site namelijk meer openen, terwijl andere sites wel fatsoendelijk werkten.

quote:

Op zaterdag 22 augustus 2009 @ 22:09 schreef Core2 het volgende:
Klinkt allemaal niet echt professioneel aan de achterkant van fok! als ik eerlijk ben. Het ingestelde rechtensysteem van de database laat gewoon toe dat gevoelige info opgevraagd wordt?

Als de misbruikte fout in externe software zat dan kun je het fok! bijna niet kwalijk nemen. Als je daarmee bij de database kunt komen dan sta je feitelijk al binnen. Dat je dan wel of niet een dikker slot op je kastjes hebt is dan bijzaak.

als jullie er SHA hashes (mag best een 512 bits zijn, zo vaak hoeft het wachtwoord niet omgezet te worden, en dit mag sowieso al clientside gebeuren) van maken, met netjes een salt erbij.

dan voorkom je niet dat iemand met accounts aan de slag gaat, maar wel dat de wachtwoorden van mensen (die ze misschien ook nog wel op andere site's gebruiken) na het simpele kraken van de md5, op straat liggen.


dit geeft best wel een kutgevoel dat jullie zo brak met wachtwoorden omgaan...

Bij een fatsoenlijke dichtgetimmerde database kan een hacker alleen doodleuk via de rechten die de applicatie heeft blogitems of commentjes ophalen. Dus niet "SELECT * FROM USERS".

quote:

Op zaterdag 22 augustus 2009 @ 22:03 schreef Danny het volgende:

[..]

dat boeit geen kont. De manier om het te hacken is hetzelfde. Hoe korter en simpeler je wachtwoord hoe sneller iemand het kan hacken als hij de hashversie van je pass heeft.

Hashen is een manier om informatie te beveiligen voor het geval de DB gekraakt wordt, wat nu dus blijkbaar gebeurd is. Hoe veiliger de hash (liefst ook nog met een salt derbij) hoe moeilijker het is om die weer op zichzelf te kraken en hoe langer dat dan ook duurt via rainbow tables etc. Zomaar even iedereen vragen zijn wachtwoord opnieuw in te stellen is idd een onmogelijke opgave, maar, zoals hierboven al werd genoemd door iemand (sorry te lui om te kijken wie het zei nu ik dit typ) om alle MD5's weer door te hashen naar Whirlpool/Sha1/Sha256/whatever zou ik wel aanraden imho.

Is dit de rede waarom ik vandaag rond 13:00 uur een mailtje kreeg om mijn passwordaanvraag te bevestigen?

Had wel een leuke 1 aprilgrap geweest.

quote:

Op zaterdag 22 augustus 2009 @ 22:03 schreef Gehannes het volgende:
Huh wat heeft zo'n gozer eraan als hij mijn passwoord weet? Dan kan hij onder mijn naam posten maar wat boeit dat voor de rest, net alsof die gozer daar echt wat aan heeft.

Inderdaad.
Maar van de andere kant, sommige mensen gebruiken hun password voor AL hun dingetjes online. En dat is dan weer minder slim.
Maar ja, whatever. Bedankt voor de mededeling in ieder geval hè