Automatische datalek check

Wanneer je klant wordt bij Freedom dan ontvang je een @freedom e-mailadres. Tijdens het bestelproces kies je een gewenst e-mailadres en vul je een wachtwoord in die je daarvoor wilt gebruiken. Privacy en online veiligheid staan bij ons hoog in het vaandel. Vandaar dat Freedom vanaf nu een automatische check uitvoert op jouw gekozen wachtwoord. Het wachtwoord wordt beveiligd gecheckt met ‘Have I been pwnd?’ om te kijken of het ooit is voorgekomen in een datalek. Is dat het geval, dan ontvang je van ons een mailtje en kun je je wachtwoord wijzigen. Bij het wijzigen van je wachtwoord in ‘MIJNFreedom’ wordt wederom de check uitgevoerd. Is het nieuwe wachtwoord ook voorgekomen in een datalek, dan ontvang je hier direct een melding van.
 
Hoe checkt Freedom dit precies?
Een wachtwoord kan worden omgezet naar een hash. We sturen de eerste 5 karakters van die hash naar de service 'Have I been pwnd?'. Vervolgens krijgen we van hen alle hashes terug die beginnen met die 5 karakters, gemiddeld zijn dat 478. Wij checken of de hele hash overeenkomt met één van die teruggestuurde hashes. Als dat het geval is kunnen we de gebruiker informeren dat dit wachtwoord voor is gekomen in een datalek. Belangrijk om te weten is dat we het wachtwoord niet combineren met het account of e-mailadres. 

Is je wachtwoord voorgekomen in een datalek, dan betekent dat niet dat er iemand gelijk ongevraagd in jouw mail kan kijken. Het betekent alleen dat hij voorkomt in een lijst en dus gebruikt kan worden door een hacker. De kans is klein, maar toch raden wij aan om het te veranderen: veiligheid voorop!

Have I been pwnd?
De database waar jouw wachtwoord automatisch doorheen gehaald wordt door Freedom is ‘Have I been pwnd?’. Deze database bevat een grote hoeveelheid gelekte wachtwoorden, telefoonnummers en e-mailadressen. Benieuwd of jouw telefoonnummer of e-mailadres ooit is voorgekomen in een datalek? Voer dan hier zelf de check uit: https://haveibeenpwned.com/

Een hash is een ingewikkelde string van karakters die niet meer te herleiden is naar dat specifieke wachtwoord. Het geeft hen geen inzicht in het wachtwoord.


Zie het oorspronkelijke bericht op https://freedom.nl/nieuwsartikel/automatische-datalek-check
4 likes

Ik heb nooit het lef gehad om mijn huidige wachtwoord op die testsite in te voeren.
Wel oude, die niet meer in gebruik zijn.

Precies hetzelfde hier. Waarom zou ik actuele gegevens invoeren in een potentieel enorme ‘honeypot’? Ongeacht de betrouwbaarheid van de man erachter op dit moment. Het ‘do no evil’-motto is mij altijd bijgebleven als een onhoudbaar iets.

Kunnen wij niet het beginstuk van een hash-versleuteling van ons wachtwoord testen ?!?
Dan stuur je dus niet jouw hele wachtwoord , maar versleutelt het eerst tot 0824rjhbsDf8 en stuurt daarvan de eerste 5 tekens, dus 0824r om te testen.

Maar dan is de vraag:
“HOE (en waarmee) wordt het wachtwoord versleuteld ?!?”

Misschien kan @FreedomBot ons daarmee helpen ?!?

Ik neem aan dat Freedom de lijst heeft gedownload.
Daar staan de SHA1 van alle gelekte wachtwoorden in.
Dat kun je ook zelf doen en dan even zoeken.

Hopelijk geef ik hiermee wat duidelijkheid.

Er wordt gebruik gemaakt van de HIBP API.
Elk wachtwoord leidt tot een hash, we sturen de eerste 5 karakter van die hash naar de service. Lees hier hoe je dat veilig kan doen: Cloudflare blogpost. we krijgen alle hashes terug die beginnen met die 5 karakters. Gemiddeld is dit ongeveer 478 stuks. Wij checken zelf of de hele hash overeenkomt met 1 van die terug gestuurde hashes, en als dat het geval is, informeren we de gebruiker dat dit wachtwoord niet “nieuw” is en hoevaak het wachtwoord bij een lek voor gekomen is.

5 likes

Maar je krijgt wel cookies en tracers van Cloudflare, terwijl jij “veilig” leest…
Vul die URL maar eens in op Zwitserse_zoekmachine_SwissCows.com (die zèlf niets plaatst), en je ziet wat je cadeau krijgt als je op Vorschau/Preview klikt en 60 seconden wacht.

Dat is een mooie proxy. Wel een beetje off-topic maar goed om er bewust van te zijn.
Het woord ‘veilig’ gaat over de omgang van het wachtwoord. Daar gaat het stukje over.

Op de website haveibeenpawned vul je alleen je e-mail adres in. Als in de database een wachtwoord bij dat email adres voorkomt (al of niet versleuteld) krijg je een positieve response. Dat wil niet zeggen dat iemand jouw wachtwoord gekraakt heeft. Maar het feit dat jouw e-mail adres voorkomt in een lijst met vermoedelijk nog meer tracking gegevens is minimaal een aanleiding om je wachtwoord te wijzigen. Nog beter is het om een ander e-mail adres te kiezen (en wellicht alleen een alias daarvan te gebruiken)
Freedom gaat verder in de analyse omdat zij terecht de hash van jouw wachtwoord hebben opgeslagen (tja anders kunnen ze je login niet controleren), en kijkt of de eerste 5 karakters van de hash van jouw wachtwoord bij jouw email adres voorkomt.

Ik bedoel dit.
Dus direct mijn huidige wachtwoord intoetsen daar.

Uh ja, dat is eigenlijk best wel eng om te doen.
Ik zou het nooit doen, mits ik een hele oude wachtwoord heb, maar dan zou ik hem toch niet meer weten :slight_smile:

Er is een API, dan kan je zien wat er gebeurd.
Je stuurt een gedeelte van de hash van je wachtwoord. Als antwoord van de API krijg je alle volledige hashes terug die in de database staan waar jou gedeeltelijke hash in voorkomt. Lokaal moet je je dan je volledige hash van jou password, checken naar het lijstje dat je terug gekregen hebt.
Jou password en ook de volledige hash van jou password verlaat dus nooit je computer.

1 like

@Internetjunk
1 herinner ik me nog heel goed.
Gebruikt in de vorige eeuw.
Stond ineens bovenaan, als het onveiligste wachtwoord ter wereld.
Uit de tijd, dat collega’s boos werden als je een moeilijk wachtwoord op de computer zette.
Een voorbeeld: melk456