Automatische datalek check

Wanneer je klant wordt bij Freedom dan ontvang je een @freedom e-mailadres. Tijdens het bestelproces kies je een gewenst e-mailadres en vul je een wachtwoord in die je daarvoor wilt gebruiken. Privacy en online veiligheid staan bij ons hoog in het vaandel. Vandaar dat Freedom vanaf nu een automatische check uitvoert op jouw gekozen wachtwoord. Het wachtwoord wordt beveiligd gecheckt met ‘Have I been pwnd?’ om te kijken of het ooit is voorgekomen in een datalek. Is dat het geval, dan ontvang je van ons een mailtje en kun je je wachtwoord wijzigen. Bij het wijzigen van je wachtwoord in ‘MIJNFreedom’ wordt wederom de check uitgevoerd. Is het nieuwe wachtwoord ook voorgekomen in een datalek, dan ontvang je hier direct een melding van.
 
Hoe checkt Freedom dit precies?
Een wachtwoord kan worden omgezet naar een hash. We sturen de eerste 5 karakters van die hash naar de service 'Have I been pwnd?'. Vervolgens krijgen we van hen alle hashes terug die beginnen met die 5 karakters, gemiddeld zijn dat 478. Wij checken of de hele hash overeenkomt met één van die teruggestuurde hashes. Als dat het geval is kunnen we de gebruiker informeren dat dit wachtwoord voor is gekomen in een datalek. Belangrijk om te weten is dat we het wachtwoord niet combineren met het account of e-mailadres. 

Is je wachtwoord voorgekomen in een datalek, dan betekent dat niet dat er iemand gelijk ongevraagd in jouw mail kan kijken. Het betekent alleen dat hij voorkomt in een lijst en dus gebruikt kan worden door een hacker. De kans is klein, maar toch raden wij aan om het te veranderen: veiligheid voorop!

Have I been pwnd?
De database waar jouw wachtwoord automatisch doorheen gehaald wordt door Freedom is ‘Have I been pwnd?’. Deze database bevat een grote hoeveelheid gelekte wachtwoorden, telefoonnummers en e-mailadressen. Benieuwd of jouw telefoonnummer of e-mailadres ooit is voorgekomen in een datalek? Voer dan hier zelf de check uit: https://haveibeenpwned.com/

Een hash is een ingewikkelde string van karakters die niet meer te herleiden is naar dat specifieke wachtwoord. Het geeft hen geen inzicht in het wachtwoord.


Zie het oorspronkelijke bericht op https://freedom.nl/nieuwsartikel/automatische-datalek-check
4 likes

Ik heb nooit het lef gehad om mijn huidige wachtwoord op die testsite in te voeren.
Wel oude, die niet meer in gebruik zijn.

Precies hetzelfde hier. Waarom zou ik actuele gegevens invoeren in een potentieel enorme ‘honeypot’? Ongeacht de betrouwbaarheid van de man erachter op dit moment. Het ‘do no evil’-motto is mij altijd bijgebleven als een onhoudbaar iets.

Kunnen wij niet het beginstuk van een hash-versleuteling van ons wachtwoord testen ?!?
Dan stuur je dus niet jouw hele wachtwoord , maar versleutelt het eerst tot 0824rjhbsDf8 en stuurt daarvan de eerste 5 tekens, dus 0824r om te testen.

Maar dan is de vraag:
“HOE (en waarmee) wordt het wachtwoord versleuteld ?!?”

Misschien kan @FreedomBot ons daarmee helpen ?!?

Ik neem aan dat Freedom de lijst heeft gedownload.
Daar staan de SHA1 van alle gelekte wachtwoorden in.
Dat kun je ook zelf doen en dan even zoeken.

Hopelijk geef ik hiermee wat duidelijkheid.

Er wordt gebruik gemaakt van de HIBP API.
Elk wachtwoord leidt tot een hash, we sturen de eerste 5 karakter van die hash naar de service. Lees hier hoe je dat veilig kan doen: Cloudflare blogpost. we krijgen alle hashes terug die beginnen met die 5 karakters. Gemiddeld is dit ongeveer 478 stuks. Wij checken zelf of de hele hash overeenkomt met 1 van die terug gestuurde hashes, en als dat het geval is, informeren we de gebruiker dat dit wachtwoord niet “nieuw” is en hoevaak het wachtwoord bij een lek voor gekomen is.

5 likes

Maar je krijgt wel cookies en tracers van Cloudflare, terwijl jij “veilig” leest…
Vul die URL maar eens in op Zwitserse_zoekmachine_SwissCows.com (die zèlf niets plaatst), en je ziet wat je cadeau krijgt als je op Vorschau/Preview klikt en 60 seconden wacht.

Dat is een mooie proxy. Wel een beetje off-topic maar goed om er bewust van te zijn.
Het woord ‘veilig’ gaat over de omgang van het wachtwoord. Daar gaat het stukje over.