Resultaten 1 t/m 7 van 7

Onderwerp: Veiligheid forum en onze account info

  1. #1
    Pollito Guest

    Veiligheid forum en onze account info

    Beste,

    via email had ik al melding gedaan ivm onze account info die nog steeds niet veilig gevoel geeft na paswoord wijziging

    express heb ik een standaard paswoord gebruikt, blijbaar de forum software upgrade heeft niet het gevoel verhoogt van veiligheid,

    daarom ik een account verwijdering hiervoor gevraagd....

    ik zet dit in forum zodat de leden op de hoogte zijn en forum beheer , zodat zij ons beter kunnen inlichten

    op forum is dus geen paswoord policy die bepaalt hoeveel karakters,leestekens ; hoofdletters, enz....

    kans dat dus nog steeds accounts toegang geven tot derden is nog hoog...?

    kan forumbeheer ons betere info geven dat onze data nu wel veilig is?

    groetjes

  2. #2
    Registratie
    Mar 2013
    Locatie
    Hoeleden
    Berichten
    1047
    Thanks
    57
    Thanked 129 Times in 93 Posts
    Even wat info die ik gekregen heb van een "ethisch hacker":
    • enkele cijfers in je paswoord maken het niet sterker dan enkel letters
    • hoofdletters maken het slechts enkele procenten sterker
    • leestekens kunnen helpen maar maken het ook moeilijk te onthouden (hier zijn truucjes voor)
    • hieropvolgend: sla je paswoord niet op in je browser en meld je elke keer weer af
    • gebruik geen standaard woorden als basis
    • spaties zijn toegestaan en worden dikwijls niet in automatische kraaksoftware ondersteund


    Het probleem dat we tegenwoordig hebben is dat we zo gewend zijn geraakt aan de 'nutteloze' regels in het opstellen van een paswoord. Een gratis te downloaden paswoordbreker is al in staat om leestekens, cijfers en hoofdletters te breken. Maar ze gaan blijkbaar dikwijls uit van standaardwoorden uit een woordenboek. Dus als je een paswoord opstelt kun je bepaalde technieken gebruiken. In plaats van een 'moeilijk woord' vorm je beter een zin die jij alleen verstaat. Bv:
    Mijn hond rijdt geen slicks kapot omdat hij geen slipcursus mag volgen!
    Daarvan neem je telkens de eerste letter.
    mhrgskohgsmv!
    Voeg enkele hoofdletters en cijfers toe
    M1hR2gsK3ohgS4mv!

    Ook hier zit een logica achter: na elke hoofdletter zet je het cijfer met het aantel kleine letters die volgen. Dit is een paswoord dat je dus vrij vlot kan onthouden en dat niemand gaat kunnen raden. Het zal ook een pak lastiger zijn om dit te breken voor software, omdat je geen woorden gebruikt maar onsamenhangende letters en cijfers. Wil je hier nog een een extra moeilijkheid in, plaats dan willekeurig een spatie in je paswoord. Best plaats je die niet aan het begin of einde, maar ergens daar tussen

    M1 hR2 gsK3 ohgS4 mv!

    Dat geeft je een paswoord dat bijna niet te breken valt. Alleen jij weet waar de logica zit.

    Hopelijk volg je de logica hier achter. Ik maak zelf zo mijn paswoorden voor zaken die er toe doen. Het probleem is dat veel sites, programma's en fora een basis template gebruiken bij het geven van tips voor het maken van een paswoord. En die zijn ondertussen al redelijk achterhaald.

    http://www.testjewachtwoord.nl/
    - Bikes don't leak oil, they mark their territory -
    ~ Life may begin at 30, but it doesn't get real interesting until about 150 ~

    ***Suzuki Bandit 650 '08 (verkocht)***
    ***Honda CRF1000L '16***

  3. #3
    Registratie
    Jul 2005
    Berichten
    3022
    Thanks
    1213
    Thanked 1088 Times in 646 Posts
    Pollito,

    Hier speelt veel meer dan "een gewoon paswoord kan nog gebruikt worden".
    - software:

    • Wij zitten nu op de laatste 4.X versie van de forumsoftware die beschikbaar is, deze wordt door vbulletin nog steeds ondersteund en krijgt navenant security updates.
    • Vanaf dat we hier tijd voor hebben gaan we verder kijken om naar de volgende versie over te schakelen, maar ook bij deze versie worden van tijd tot tijd bugs gevonden. Jammer genoeg kunnen wij niet meer dan vertrouwen dat Vbulletin Solutions gevonden lekken snel dicht en communiceert.
    • Ook de rest van de server mag geupdate worden, maar dit zullen we gelijk met de update van het forum doen. Hier is al een korte voorbeeld procedure uitgeschreven door Brainiac, deze zullen we verder uitdiepen en zo snel als onze tijd het toelaat ook doorvoeren.


    - https (en connecties):
    • deze dienen ook grondig aangepakt te worden, doordat deze vorig jaar snel snel in orde moesten komen is hier ook te weinig tijd geweest om ons certificaat een betere upgrade te geven dan nodig.
    • Ik raad om die reden af om op dit moment ook af om op onbeveiligde wifi onze site te bezoeken.


    - paswoorden:
    • Je haalt het aan, wij forceren niet dat iedereen een ultra moeilijk paswoord moet gebruiken, dat je dit aankaart (en vooral test) vind ik persoonlijk heel goed.
    • Dat wil daarentegen niet zeggen dat jouw paswoord gekend is bij iemand anders, als je nu "appel" zou gebruiken als paswoord dan is dit je goed recht. Maar de vraag rijst (is gerezen): zijn wij verantwoordelijk voor het gebruik van een dom paswoord?
    • Heb je ook al geprobeerd wat er gebeurd als je je paswoord een aantal maal verkeerd invoert? na 5 keer zal de site jou beletten om dit nog te proberen door de gebruiker een tijdje te blokkeren. dit omdat het anders te makkelijk zou zijn om wachtwoorden te raden van iemand door willekeurige paswoorden in te voeren (dit vaak gebaseerd op woordenboeken waarin "appel" dan wel staat)


    De kans dat derden nog toegang hebben tot accounts op dit forum wier eigenaars hun paswoord niet veranderd hebben is bestaande, maar dezelfde discussie die we momenteel voeren rond verantwoordelijkheid van "eenvoudige" paswoorden geldt hier ook.

    Wij hebben iedereen in ons ledenbestand een mail gestuurd, een banner gezet op de site, en een topic gestart voor ingelogde leden.
    Op zich zou dat genoeg moeten zijn om iedereen tergede gewaarschuwd te hebben dat iemand anders aan hun gegevens (op deze site) kan.

    Is het nog onze verantwoordelijkheid om dit paswoord aan te passen?


    ik stel deze vraag in een vrije vorm zonder mijn mening hierover te laten kennen (denk ik), Ik laat de leden ook vrij om hieromtrent hun mening te geven hieronder.
    Daaromrent nog 1 bedenking die in deze discussie loopt: hoeveel persoonlijke gegevens staan er op jouw account?



    Omtrent het antwoord van Utterdown:
    Niet slecht, maar uiteindelijk is het gebruik van een paswoordgenerator (zoals aangehaald in de oorspronkelijke post) een pak beter, daarbij kan je zelf kiezen hoe sterk het wachtwoord is dat je willekeurig laat genereren. Ik ken mijn paswoorden niet, ben er zeker van dat ze veilig zijn en hergebruik ze nergens.
    Je kan je paswoord laten invullen door het programma dat het heeft gemaakt (in mijn geval keepass) en als je je computer beveiligd (mijn homedir is geencrypteerd op elke pc/gsm die ik gebruik) kan je zelfs je paswoorden opslaan in je browser.




    Pollito, leuke eerste post ...

  4. #4
    Registratie
    Jan 2016
    Berichten
    201
    Thanks
    9
    Thanked 37 Times in 24 Posts
    De grote vraag is ......

    is het zo belangrijke een ingewikkeld password te hebben ???

    Als je nu een E-mail account hebt - die enkel voor de fora's dient, als zo een soort Trash emmer.

    Deze Email account met een andere paswoord voorziet.

    Je weet nu zelf, dat alles wat in deze Mailaccount zit niet erg pluis kan zijn - en bij onzekerheden hebben wij de mogelijkheden via PN te communiceren .

    Dus voor mij - waar zit het grote probleem.


  5. The Following User Says Thank You to freeway For This Useful Post:

    CrotchRocket (26-12-2017)

  6. #5
    Registratie
    Mar 2014
    Locatie
    Brasschaat
    Berichten
    1378
    Thanks
    963
    Thanked 204 Times in 139 Posts
    Citaat Oorspronkelijk geplaatst door freeway Bekijk Berichten
    De grote vraag is ......

    is het zo belangrijke een ingewikkeld password te hebben ???

    Als je nu een E-mail account hebt - die enkel voor de fora's dient, als zo een soort Trash emmer.

    Deze Email account met een andere paswoord voorziet.

    Je weet nu zelf, dat alles wat in deze Mailaccount zit niet erg pluis kan zijn - en bij onzekerheden hebben wij de mogelijkheden via PN te communiceren .

    Dus voor mij - waar zit het grote probleem.



    Ik lig er niet echt van wakker als iemand mijn login gegevens van dit forum in handen krijgt. Dan kunnen ze hoogstens wat klooien met mijn account, het e-mail adres gelinkt aan deze account achterhalen (wat nota bene dus NIET mijn "hoofd" mail adres is), en in het slechtste geval wat spammen op het forum. Dat zou vervelend zijn, maar ook niet meer dan dat. De login gegevens van dit forum geven geen toegang tot eender welke andere online account die ik gebruik. Je moet van een mug geen olifant gaan maken.
    '99 SV650 (sold) => '03 SV1000 S (sold) => '06 CBR1100XX (crashed ) => '08 ZZR1400 (crashed ) => '15 MT09 Tracer

  7. #6
    Registratie
    Sep 2012
    Locatie
    Brussel
    Berichten
    17516
    Thanks
    3302
    Thanked 3653 Times in 2325 Posts
    Tbh, ik zie ook niet het probleem dat jij een minder sterk paswoord kiest voor jouw account.
    Door dat te doen heb jij inderdaad het iets gemakkelijker gemaakt dat ze jouw paswoord zouden kunnen "raden" in de korte limiet die er is om foute paswoorden in te voeren voor een bepaalde tijd.
    En als ze binnen zijn ... dan is IMO de enige echte last die ze kunnen veroorzaken, het sturen van PM's vanuit jouw naam. (eentje die we als moderators ook niet zo gemakkelijk kunnen opsporen zonder melding door leden).

    Voor de admins gelden alvast andere regels. Wij moeten standaard een nieuw paswoord kiezen om de xx dagen. (weet niet meer exact hoe lang, maar toch 1x per jaar).
    Ik gebruik al jaren Lastpass, heb een +200 verschillende paswoorden (nooit hetzelfde voor een andere account) en zou zonder paswoord manager er alvast niet meer aan uit geraken.
    Op mijn Lastpass staat een zeer sterk paswoord dat uniek is, en ook nog eens veranderd wordt om de 4-6 maand.
    2011 Kawasaki Z1000SX (black)

    Braaaaaaaap braaaaaaap

    Zondag 4 augustus 2019: 2fast4u Ardennenrit

  8. #7
    Registratie
    Jan 2016
    Berichten
    201
    Thanks
    9
    Thanked 37 Times in 24 Posts
    Effe kort serieus

    Als je - zo als je voorbeeld - reclame via PM wilt verzenden

    registreer je gewoon - blijf een maand of wat onder de radar

    en dan ga je iedereen aanschrijven via PM

    Zelf als je geen hacker bent is dit mogelijk.


  9. The Following User Says Thank You to freeway For This Useful Post:

    Schussboelie (27-12-2017)

Bladwijzers

Bladwijzers

Forum Rechten

  • Je mag geen nieuwe onderwerpen plaatsen
  • Je mag geen reacties plaatsen
  • Je mag geen bijlagen toevoegen
  • Je mag jouw berichten niet wijzigen
  •