Gekraakte passwords online?

[cyberbozzo]

Beste,

Ieder van ons weet dat er bij LinkedIn/Adobe en andere grote spelers de voorbije jaren hacks zijn gebeurd waardoor je password is uitgelekt.
Tegenwoordig circuleren er mails met als doeltreffende inhoud: 'prutske123 is je password, dat is een bewijs dat je wel gefilmd hebben in comprimiterende omstandigheden, zo hebben we dat password ook bemachtigd, gelieve x aantal bitcoins te betalen of we geven de beelden vrij'.

Het password dat genoemd wordt in die mails is meestal juist en is afkomstig uit een database die in het verleden gekraakt werd. Gezien veel gebruikers zelfde passwords jaren aan een stuk aanhouden; denken ze meteen dat ze effectief gefilmd zijn en gaan ze snel in op dergelijke chantage.

Mijn vraag: hoe komen die spammers/criminelen aan die raw passwords?
Is die database met raw passwords dan na die hack effectief ook public gezet ergens?

[Gray]

Ja, die lijst met passwoorden in clear text staat op het internet.

[Robert Ford]

Als je wat leesplezier wilt op het toilet, 35GB aan paswoorden in clear text

https://haveibeenpwned.com/Passwords

[on4bam]

Ik heb zo al honderden mails gekregen, eerst op email accounts waarvan de paswoorden al meer dan 10 jaar geleden veranderd zijn (dus hun database is van nog eerder en nu de laatste tijd dezelfde mails maar zonder vermelding van paswoorden op email accounts die niet eens bestaan. Ik zie die mails dan ook maar in mijn spamfolder en nu en dan in mijn catchall.
Om de paar dagen worden die dan in bulk gedelete verder maak ik mij daar geen zorgen over.

[redman]

Die database kun je terug vinden op sommige torrent sites....

[lukadad]

Grappig, het paswoord 'incorrect' staat 17277 keer vermeld bij 'Have I been pawned'.

En om de een of andere reden wil ik mijn paswoorden niet op die site intikken.

[raf1]

Mijn vraag: hoe komen die spammers/criminelen aan die raw passwords?

Men heeft van Linkedin bijvoorbeeld alle SHA1-hashes kunnen herberekenen naar raw passwords.

[cyberbozzo]

Bedankt allen.
Wist niet dat al die passwords zomaar easy in raw text op het internet te downloaden waren...

Om eerlijk te zijn is dat toch een serieus risico: iedereen weet dat users voor heel veel zaken hetzelfde password gebruiken...

[philippe_d]

Iedereen weet toch dat je paswoorden regelmatig moet wijzigen ...
Wie nu nog een 10-jaar oud paswoord gebruikt, vraagt toch zelf om miserie?

[cyberbozzo]

Dat zeg ik niet, je hebt wssch volkomen gelijk.
Maar er is natuurlijk een verschil van achter je PC tussen theorie <> praktijk.

[heist_175]

Om eerlijk te zijn is dat toch een serieus risico: iedereen weet dat users voor heel veel zaken hetzelfde password gebruiken...

Dat is dan ook dom en dwaas.
Je kan beter voor elke website een ander adres gebruiken en dat (bij wijze van spreke) in notepad of in uw email opslaan zodat je het kan terugvinden.
De paswoordkrakers gaan echt niet in uw email op zoek naar paswoorden, maar testen het buitgemaakte wachtwoord op grote/bekende sites waar ze veel kans op succes hebben (wegens veel users).
LinkedIn, Instagram, Facebook, ...

Op internet vind je massa's paswoord makers, ikzelf gebruik LastPass als vault én als key-maker.
https://www.lastpass.com/nl/password-generator

Je kan ook voor de optie "makkelijk te lezen" (geen I/l/1 en geen O/0 etc) en "makkelijk af te lezen" (geen speciale tekens of cijfers) kiezen, wat een combinatie oplevert die exact dat doet.

[MClaeys]

Ik heb zo overlaatst ook 1 keer een mail gehad. Met een wachtwoord dat maar op 2 plaatsen in gebruik was (vroeger), Dropbox en Userbase. Ghohja, tis niet dat ik maandelijks mijn wachtwoorden wijzig, maar met een pw manager toch een pak vaker dan vroeger.

[skipper]

Op internet vind je massa's paswoord makers, ikzelf gebruik LastPass als vault én als key-maker.
https://www.lastpass.com/nl/password-generator

Gebruik ik ook. Inderdaad zeer handig!