Wijziging van de wachtwoordprocedure

Eens dat er geen garantie is dat iets gepubliceerd ook zo op de servers staat of functioneert en te meer reden om zeker met domein overschrijdende zaken die nauwlettend te monitoren.

Goed om op verzoek wachtwoordcontroles te doen, dan batches bij HIBP op te vragen die beginnen met een bepaalde hash om de inhoud vervolgens in eigen huis van gebruikers, op meer detail te controleren.
Echter het punt, die detailcheck gebeurd niet in het eigen pand van Freedom maar zover ik het nu begrijp, in het serverhuis van Soverin.

Publicatie is wmb niet primair om iemands gezegde te controleren of uit te gaan van misbruik maar dingen te kunnen beschouwen en/of onverhoopt dan over aan te (kunnen) spreken.
Kan (of wil) mij niet goed voorstellen dat code die wordt ingezet zo triviaal dat bv een gebruiker cq. Freedom daar niet meer onafhankelijk van kan zijn en zich zo in een houdgreep heeft geplaatst.

Ja dat is onduidelijk. Drie jaar geleden werd aangekondigd dat de hardware van Soverin bij Freedom zou worden ondergebracht. Maar daar hoor je niemand meer over.

@randal wat is de status hiervan?

Ik heb hem een vriendelijk bericht gestuurd en zijn posting verwijderd. Uiteraard niet vanuit censuur waar ik zelf en Freedom ook vies van is.
Maar laten we proberen een beetje vriendelijk naar elkaar te zijn. Soms is het beter even tot 10 te tellen voordat je op [verzenden] drukt

Dit zegt toch alleen maar dat Soverin haar servers in een Freedom datacentrum heeft draaien? Waarschijnlijk ook het netwerk van Freedom gebruikt.

Ik denk dat Larry ook meer symbolisch over “pand” en “huis” sprak, want in deze maakt het geen zier uit of Soverin nu bij Freedom of een andere hoster staat, ze kunnen lekker zelf doen wat ze willen, en als dat betekend dat ze liever wat dataverkeer genereren dan 40GB lokaal in storage houden en af en toe rsyncen ofzo, dan doen ze dat ook nu ze bij Freedom in de racks staan.

Dat Freedom zelf zut zou draaien die Soverin nu voor ze doet is er waarschijnlijk wel minder voor de hand liggend door geworden omdat ze nu over en weer dienstverlening naar elkaar doen.

Ik heb hem een vriendelijk bericht gestuurd en zijn posting verwijderd.

Er stond toch niets in wat te ver ging?

Ah ja nu je het zegt… Ik heb het altijd puur vanuit een Freedom context gelezen. Als in: Soverin regelt de spullen voor Freedom, eerst in hun eigen netwerk en later toch maar bij Freedom zelf. Maar het is gewoon een Soverin persbericht, waarin Freedom inderdaad alleen de rackspace en uplink levert.

Bedankt voor je bijval! Ik vond het zelf ook wel meevallen
Het lijkt er wel op dat ik @PeterB hier met mijn opmerking heb weggejaagd
Maar ik accepteer het besluit van Anton die mijn reactie heeft verwijderd.

In veel forums is het regel dat er over besluiten van de moderators niet publiekelijk wordt gediscussieerd.

Zo kun je het ook zien. Mijn fantasie is heel groot.
Freedom wil zoveel mogelijk veiligheid bieden.
Dat er een knopje is, dat het mogelijk maakt om weer welkom.01 als wachtwoord te gebruiken is raar. Hoe ver wil je gaan? Een kleine database, met de domste wachtwoorden.

Ik ken ze, ze gebruiken al jaren lang hetzelfde wachtwoord en overal.
Weten precies dat je bij digd na 5 keer veranderen, je oude wachtwoord weer mag gebruiken.

Ik zie de schending van privacy niet.
Ben je bang, dat dit een lek veroorzaakt?
Het geeft mij ook een ongemakkelijk gevoel, dat mijn wachtwoord keuze beperkt wordt.
De controle intern houden, zou ik ook prettiger vinden.
Dan is het de vraag, is het een gevoel of is het echt veiliger, los van de vraag of het haalbaar is.

Ik niet. Nu is het draadje kapot omdat de context van de antwoorden weg is. En er is blijkbaar een bepaalde standaard waar posts aan moeten voldoen, de rest wordt gewoon stilletjes verwijderd. Ik ben nu wel benieuwd hoe vaak dat gebeurt. Worden er hier meer discussies op deze manier bijgestuurd?

De hier genomen beslissing is een te harde maatregel die niet past bij de situatie. Hooguit dat je een paar zinnen weghaalt of aanpast, maar dan wel in die post een comment achterlaten waarom er is gemodereerd. Zo stilletjes knip er tussenuit leunt toch echt wel richting censuur, al dan niet onbedoeld.

In veel forums is het regel dat er over besluiten van de moderators niet publiekelijk wordt gediscussieerd.

Als moderatie fair is dan is er geen discussie over nodig. Ik ben zelf ook jarenlang mod en admin geweest op forums waar het er nog veel heftiger aantoe ging. De achterkamertjes zet je dan in om een flamewar te voorkomen of om iemand in persoonlijke zin te beschermen, maar tegelijkertijd veroorzaak je ook irritatie en argwaan. (Eventuele) misstanden moeten open kunnen worden besproken.

Laten we dit on-topic houden. Discussies over besluiten van moderators of medewerkers van Freedom vind ik niet thuis horen op de community.

De huisregels zijn duidelijk en deze worden nageleefd.

We passen moderatie toe waar nodig en zijn daar heel spaarzaam in. De moderators doen dit ook in onderling overleg (zonder en met input van Freedom).

Liever geef ik hier niet de bovenstaande preek, maar wil hier wel even duidelijk zijn dat er heel veel kan en mag op de community, maar laten we het wel altijd constructief, kritisch, het liefst positief hier met elkaar de dialoog aan gaan.

We hebben overduidelijk, een andere zienswijze met wat we zinnig vinden.
Ik wil kunnen kiezen dat ook jou die vrijheid biedt en jij vindt dat omgekeerd - voor mij ? - onwenselijk om vervolgens in (drog)redenaties te verzanden.

Kleine moeite om een vinkje te zetten met “deze user wil zelf zijn wachtwoordkwaliteit bepalen”. Scheelt een kostbare subroutine/call en dat die check niet ergens een mogelijk onverhoopte andere invulling krijgt.
Dat iemand een keuze stupide vindt, mag een betrokkene helemaal zelf iets anders van gaan vinden. Onze keuze(s) hoeven elkaar hier niet in de weg te zitten.

Privacy in deze is dan de ander in die (eigen)waarde te laten zonder, zoals tegenstanders lijken te doen, vervolgens een waardeoordeel te scheppen door o.a. bedachte drogredenaties te projecteren.

Nu gaat het (mij) niet alleen specifiek over dit aspect. Het is een proces van handelen dat inmiddels structurele vormen lijkt te gaan hebben.
Gebruikers wordt geconfronteerd met een opgelegde wijziging of gevolgen van een implementatie, zonder dat zij daarin een andere keuze mogen hebben (dan stemmen met hun voeten).

Het grote probleem is dat op dit moment een aantal bendes vandalen op het internet rond wandelen die alles bij elkaar willen graaien om zoveel mogelijk geld op te halen. Voor inbraak hebben ze accounts nodig (waar dan ook). Al is het alleen maar om meer targeted phishing te verzenden.
Wat veel mensen wel vergeten is dat hacker etc. niet een gerichte op de persoon bedoelde aanval iets proberen te doen, ze proberen gewoon op 60000 adressen binnen te komen en zien wel waar het lukt.
De personen achter de IP adressen zijn idd over het algemeen niet belangrijk genoeg. Maar alles is meegenomen wat te vinden valt. En het IP adres is mogelijk wel het meest waardevolle wat de betreffende persoon bezit in dit geval.
Op die manier ontstaan de botnets.
Als de politie al op zoek gaat naar een bron van digitale inbraak oid, staan ze in eerste instantie op de verkeerde deur te bonken.

IMHO wordt MFA (mogelijk zelfs met meer dan 2 factoren) of andere maatregelen ter voorkoming van inbraak op termijn onvermijdelijk. Je hebt betere barrierres nodig tegen de vandalen. De wachtwoorden in HIBP ZIJN al bekend met usernames, en vaak ook BSN of equivalent, creditkaart nummers, bank nummers etc.

tldr; thx4 uitleg waarom beveiliging nodig is en niet anders maakt dat dit een gebruikskeuze kan cq behoort te zijn.
//–//
Prima 101 toelichting aangaande bedreigingen waarom bieden van beveiliging gewenst kan zijn.
Ik hoef daarin niet overtuigd te worden, ben goed bekend met methodieken. Ik volhard juist dat mate van een beveiliging altijd een gebruikskeuze moet zijn die vervolgens door een dienstverlener mogelijk moet worden gemaakt.

Waar ik mij tegen verzet is de zienswijze omtrent (schijn)beveiliging die een individu (mij) categorisch wordt opgelegd.
De keuze moet zeker geboden worden en het aan de internetgebruiker om als zelfbeschikkend persoon; op welke manier, plaats of moment etc.etc…

Dat IP adres van ons is doorgaans alom bekend.
Eén van de redenen dat ik, vaker, heb geopteerd over de mogelijkheid van provider proxy/vpn en elders hier, al eens heb opgeworpen dat een vast aansluitadres of veranderen daarvan OOK een keuze moet zijn ipv een verplichting.
Ik mij juist sterker zou maken voor bv inkomende poort-firewall vanuit de providerconnectie (zoals, izzyweer ooit bij xs4all).

Het mij dan bv verbaast dat Soverin/freedom de toegangsfirewall*, op grond IP adres om haar diensten te kunnen gebruiken, en-passant de nek heeft omgedraaid.
*_{Oude regels werken nog maar nieuwe regels zijn niet meer mogelijk.}

Ik vind het bv ook onbestaanbaar dat vanuit de hele wereld, zonder mijn toestemming, op elk moment geprobeerd kan worden om toegang te krijgen tot mijn account, webmail en zelfs connectie.
Ik wil mij zelfs voorstellen dat iemand die oneigenlijk inlogt, dan geen enkele reactie krijgt en/of ter leedvermaak terecht komt in een tijdrovende honeypot-cyclus van bv een blacklist van een gebruiker.

Die MFA verplichting is imo eerder een CYA actie van dienstverleners die dat zien als heilige graal om zo te voldoen aan “eisen”.
Ontstaat alsnog een misbruik, kan het immers niet anders zijn (in dat denken, ik ken ze) dan dit een eigen “schuld” van de gebruiker is.
Immers die gebruiker heeft dan iets “onlosmakelijk” vrijgegeven.

Wanneer ik met een 1234 wachtwoord wil inloggen met Eudora op mijn mailbox en geen enkel gebruik wil maken van weet ik veel een versleuteling of HIBP check, moet dat aan mij kunnen zijn.
Blijkt daaruit risico te ontstaan richting anderen dan mijzelf, kan een provider - naast die anderen beschermen - altijd nog die veroorzakende gebruiker op haar matje roepen.

Een bericht is gesplitst naar een nieuw topic: Time out mijn.freeddom

Klopt, nu alleen nog passief aanwezig