News:

Want to get involved in developing SMF, then why not lend a hand on our github!

Main Menu

Verander je wachtwoorden zo spoedig mogelijk !!

Started by Herman's Mixen, July 23, 2013, 02:40:20 PM

Previous topic - Next topic

Herman's Mixen

Bij deze zal ik je verwijzen naar het Engelse topic waar we, je informeren om je eigen wachtwoorden te veranderen zo spoedig mogelijk....

http://www.simplemachines.org/community/index.php?topic=508232.0

bij voor baat dank !!

Met vriendelijke groet, The Burglar!

 House Mixes | Mixcloud | Any Intelligent fool can make things bigger, more complex, and more violent.
It takes a touch of genius - and a lot of courage - to move in the opposite direction. - Albert Einstein

Former Godfather of our dutch community ;)

zipper306


Herman's Mixen

Met vriendelijke groet, The Burglar!

 House Mixes | Mixcloud | Any Intelligent fool can make things bigger, more complex, and more violent.
It takes a touch of genius - and a lot of courage - to move in the opposite direction. - Albert Einstein

Former Godfather of our dutch community ;)

Han

Done. Tnx. Ik kreeg er ook een email over.
Ik hoop wel dat ze het beveiligingslek waardoor dit mogelijk was gedicht hebben, anders is het dweilen met de kraan open.

Mano2

Hey Burglar, dank voor de mededeling.
Waarom stuurt smf niet aan allen leden een pm met deze mededeling? dat is stuk handiger en is iedereen meteen op  de hoogte, nu lees ik het per toeval omdat  jij het hier neerzet anders zou ik het waarschijnlijk niet eens geweten hebben.

Herman's Mixen

Omdat we nogal wat leden hebben hier en een Anouncement e-mail naar elk lid is gestuurd, al maakt de server wel overuren met het verzenden naar alle user-id's ;)
Met vriendelijke groet, The Burglar!

 House Mixes | Mixcloud | Any Intelligent fool can make things bigger, more complex, and more violent.
It takes a touch of genius - and a lot of courage - to move in the opposite direction. - Albert Einstein

Former Godfather of our dutch community ;)

beagle-01

mail toch wel ontvangen van SMF.
bij deze mijn PW is veranderd.
Ship modelling is not a hobby, it has become a way of live. © Brian King.
Als je ouder wordt, wordt alles slechter, behalve het vergeten, dat wordt steeds beter ...

French

Blijf natuurlijk de hamvraag over. Hoe is dit te voorkomen in de toekomst ?
Misschien zou deze modificatie daarvoor geschikt kunnen zijn,maar dan dat admins en teamleden gedwongen worden om hun wachtwoord regelmatig te veranderen (binnen een vastgestelde vervaldatum) Want het mag duidelijk zijn en dat is dus gebleken,dat deze groep in dit geval de zwakste schakels kunnen zijn.

Herman's Mixen

dat is niet de vraag, en niet het antwoord.

niet dat ik emu niet vertrouw, maar gaat meer om wederzijds  respect dat we het daar niet over zullen hebben.
zoals verder in het topic wordt genoemt :D
Met vriendelijke groet, The Burglar!

 House Mixes | Mixcloud | Any Intelligent fool can make things bigger, more complex, and more violent.
It takes a touch of genius - and a lot of courage - to move in the opposite direction. - Albert Einstein

Former Godfather of our dutch community ;)

French

#9
Oké duidelijk  ;)
Neemt niet weg dat een van de meest voorkomende database-gerelateerde kwetsbaarheden een slecht wachtwoordbeleid is.,wachtwoorden moeten daarom regelmatig worden gewijzigd,zeker als je wat ik al aangaf tot de groep beheerders of team-leden behoort,deze groep is voor een hacker interessanter dan een gewone gebruiker of zie ik dit nu verkeerd.

Herman's Mixen

je hebt wel gelijk, maar is voor de gebruiker hoe hij of zij  met zijn of haar wachtwoorden omgaat, voor security doeleinden is het altijd goed om in de zoveel tijd deze te veranderen...
Met vriendelijke groet, The Burglar!

 House Mixes | Mixcloud | Any Intelligent fool can make things bigger, more complex, and more violent.
It takes a touch of genius - and a lot of courage - to move in the opposite direction. - Albert Einstein

Former Godfather of our dutch community ;)

LiroyvH

French, ga nu hier niet dezelfde onzin zitten verkondigen als in de officiele aankondiging aub. ;)
Wachtwoorden regelmatig geforceerd wijzigen IS EEN GROOT BEVEILIGINGS PROBLEEM!
Het is heel duidelijk uitgelegd in het topic door meerdere mensen, waaronder ikzelf, waarom dit een groot probleem is.


Gewoon 1x een zeer goed sterk wachtwoord maken, en deze NIET op meerdere sites gebruiken en niet inloggen in openbare gelegenheden.
Dat is vele malen veiliger dan die onzin met "je moet je wachtwoord elke x tijd veranderen".
((U + C + I)x(10 − S)) / 20xAx1 / (1 − sin(F / 10))
President/CEO of Simple Machines - Server Manager
Please do not PM for support - anything else is usually OK.

LiroyvH

Quote from: Han on July 23, 2013, 06:10:30 PM
Ik hoop wel dat ze het beveiligingslek waardoor dit mogelijk was gedicht hebben, anders is het dweilen met de kraan open.

De wachtwoorden zijn veranderd. Dat is eigenlijk het enige lek dat we hadden, de software zelf is veilig. De servers ook.
((U + C + I)x(10 − S)) / 20xAx1 / (1 − sin(F / 10))
President/CEO of Simple Machines - Server Manager
Please do not PM for support - anything else is usually OK.

French

#13
Quote from: CoreISPFrench, ga nu hier niet dezelfde onzin zitten verkondigen als in de officiele aankondiging aub
Wat ...........ach laat ook maar,dacht even dat we een normale volwassen discussie hadden,kennelijk heb ik me daarin vergist........beetje jammer.

Toevoeging Dat ik er anders overdacht en we niet op dezelfde lijn zaten wil nog niet zeggen dat het onzin is.Het niet altijd met elkaar eens zijn dat gebeurt wel vaker in een discussie toch,sorry maar vindt dit een misplaatste opmerking.Ongetwijfeld zal je het wel niet zo bedoeld hebben en daar ga ik dan maar van uit.

LiroyvH

Tja eh... ik bedoelde het wel degelijk zo eigenlijk, en zal er ook geen excuses voor maken... Ik vind dat wat jij zegt complete onzin is. Waarom dat je beledigd weet ik niet.

Het is keer op keer bewezen dat het constant forceren van wachtwoord wijzigingen een groot beveiligings risico is.
Dit is ook meerdere keren uitgelegd en meerdere mensen hebben aan je laten zien WAAROM het een risico is en artikelen van meerdere enorm hoog gerespecteerde onderzoekers aan je laten zien in de hoop dat je het dan zou snappen.

Dat je dan mensen toch alsnog gaat adviseren om een onveilige methode van password management te gebruiken vind ik van dus absoluut niet netjes, en dan vind ik het meer dan terecht dat ik daar een opmerking over maak... zodoende: daar ga ik ook absoluut geen excuses voor maken als het uiten van deze kritiek je om wat voor reden dan ook beledigd.

Ja, je mag je eigen mening hebben. Absoluut :) Maar het verkopen als feiten terwijl het je in een ander topic al meerdere malen duidelijk is gemaakt dat je het totaal bij het verkeerde eind hebt, daar kan ik met m'n gedachten niet bij.
Een mening hebben is 1 ding, maar als de feiten iets totaal anders zeggen en je blijft nog steeds bij je eigen mening: dat vind ik persoonlijk niet zo slim.

Als jij vind dat mensen als root wachtwoord "qwerty" moeten gebruiken omdat dat veilig is volgens jou, en ik laat je vervolgens tien artikelen lezen waarin wordt uitgelegd dat dit een enorm slecht idee is, en toch zeg jij "Nee hoor, ik hou het gewoon bij qwerty want het is veilig en ik raad andere mensen het zelfde aan", dan is dat toch raar of niet...? :)
Dit is dan een wat overdreven voorbeeld, maar het is wel vergelijkbaar met wat er nu gebeurd. Er is aan je laten zien wat er mis is met je theorie, en nog prijs je het bij mensen aan... Ik vind dat een heel slechte zaak. Je mag je mening verkondigen, maar dan moet je wel respecteren dat iemand, in dit geval ik, daar dus een opmerking over maakt als je mening in strijd is met de algemene veiligheid afwegingen.

... En dat heeft NIETS met volwassen zijn te maken, maar met het beschermen van de gebruikers van onze software.
Als je dat beledigend vindt: jammer maar helaas... Klinkt misschien wat hard, maar ik ga echt geen excuses maken als de veiligheid van gebruikers in het geding is.
((U + C + I)x(10 − S)) / 20xAx1 / (1 − sin(F / 10))
President/CEO of Simple Machines - Server Manager
Please do not PM for support - anything else is usually OK.

French

Prima mij om het even,maar als jullie hier het juiste wachtwoorden beleid hadden toegepast en dus op tijd al dan niet geforceerd beheerders en team-leden hun wachtwoorden hadden laten wijzigen (hoe controleer je trouwens of ze wel sterke wachtwoorden gebruiken vraag ik me af) dan was dit alles niet gebeurd.

LiroyvH

Nu hoop je vast dat ik "touche" roep, maar helaas: Neen, ook daar trek je de foute conclusie.

Zelfs als het wachtwoord, al dan niet geforceerd, gewijzigd werd, dan had de admin in kwestie er voor kunnen kiezen om dat wachtwoord ook elders toe te passen om wat voor reden dan ook (bijvoorbeeld omdat het makkerlijker is om 1 wachtwoord te onthouden dan velen), en derhalve zou het vooralsnog hetzelfde zijn en was ook dat wachtwoord achterhaald. Gewijzigd of niet had dus totaal geen verschil gemaakt. nul komma nul.
Als men constant geforceerd het wachtwoord moet wijzigen is er geen enkele garantie dat dit wachtwoord niet ook ergens anders gebruikt wordt.
Je argumenten slaan dus nergens op, je moet niet zomaar wat roepen zonder te weten waar het precies om gaat... Veranderende wachtwoorden is nooit het probleem geweest.

Het enige dat de administrator niet had moeten doen, was hetzelfde wachtwoord elders gebruiken. Dat is het hele probleem, en hoe vaak je het wachtwoord ook forceert te wijzigen: dat verhelpt het probleem totaal niet, dus hoe je denkt dat dit zou helpen is mij een raadsel.
De admin in kwestie heeft wel heel goed geleerd dat niet meer te doen.

Het heeft geen zier te maken met het forceren van wachtwoord wijzigingen zodat men allemaal domme makkelijk te kraken wachtwoorden gaan gebruiken omdat ze het anders niet kunnen onthouden... En dat is wat jij aanspoort om te gaan doen, en daarom corrigeer ik je foute stelling.
Nogmaals: het constant geforceerd wijzigen van wachtwoorden werkt averechts, en dat is meerdere malen bewezen.

Hou vast aan je mening, dat is ook helemaal aan jou en ben je vrij in... Maar weet wel dat de feiten geheel anders liggen en je theorie dingen enkel onveilig maakt, in plaats van veiliger.
((U + C + I)x(10 − S)) / 20xAx1 / (1 − sin(F / 10))
President/CEO of Simple Machines - Server Manager
Please do not PM for support - anything else is usually OK.

French

Quote from: CoreISPZelfs als het wachtwoord, al dan niet geforceerd, gewijzigd werd, dan had de admin in kwestie er voor kunnen kiezen om dat wachtwoord ook elders toe te passen om wat voor reden dan ook (bijvoorbeeld omdat het makkerlijker is om 1 wachtwoord te onthouden dan velen), en derhalve zou het vooralsnog hetzelfde zijn en was ook dat wachtwoord achterhaald.
Ja dank je de koekoek,met jouw methode is dat ook nog steeds mogelijk.Een wachtwoord regelmatig veranderen hoeft per definitie niet te betekenen dat deze onveilig of zwakker wordt dat ligt aan degene die hem veranderd,en v.w.b de beweringen dat het regelmatig veranderen van wachtwoorden inhoud dat deze zwakker of onveiliger zou worden die zijn stuk voor stuk te pareren met uitspraken daarover van anders denkende.

LiroyvH

Quote
Ja dank je de koekoek,met jouw methode is dat ook nog steeds mogelijk.

Aha, dus als je het wachtwoord dat je hier gebruikt nergens anders gebruikt, is het volgens jou nog steeds mogelijk dat het wachtwoord vanuit de database van een andere site gejat wordt...?
Dat vind ik een bijzonder interessante uitspraak en vraag me af hoe je dat precies voor je ziet.

Dat is hetzelfde als zeggen dat ik al het geld dat in de kluis van de Rabobank ligt ook kan stelen vanuit de kluis van de ING bank. Dat is best knap...
Je moet niet selectief gaan quoten om je foute punten proberen kracht bij te zetten, dat werkt namelijk net zo averechts als het forceren van wachtwoord wijzigingen.


Quote
Een wachtwoord regelmatig veranderen hoeft per definitie niet te betekenen dat deze onveilig of zwakker wordt dat ligt aan degene die hem veranderd,en v.w.b de beweringen dat het regelmatig veranderen van wachtwoorden inhoud dat deze zwakker of onveiliger zou worden die zijn stuk voor stuk te pareren met uitspraken daarover van anders denkende.

Nogmaals: het is meerdere malen bewezen dat wanneer je wachtwoorden constant forceert te wijzigen dat de wachtwoorden in het overgrote deel van de gevallen veel onveiliger wordt.
Dat jij daar persoonlijk anders over denkt is leuk, maar dat doet niet af aan de cijfers die zulke onderzoeken laten zien.

Wat jij persoonlijk doet betekent niet dat iedereen dat doet, het is bewezen dat de meeste mensen zeer zwakke wachtwoorden kiezen als ze steeds geforceerd moeten wijzigen.
Dit is aan je laten zien door meerdere mensen, en beaamd door meerdere mensen die, vroeger of nog steeds, verplicht werden/zijn hun wachtwoord vaak te veranderen.


Maar goed, ik denk niet dat we hier ooit uit komen. Ondanks de feiten blijf je heel eigenwijs volhouden dat je volkomen gelijk hebt; dus blijf vooral denken dat je gelijk hebt, maar ik verzoek je hier op simplemachines.org te stoppen met mensen te voorzien van foute informatie die hun veiligheid in het geding brengt.
Wat je op je eigen site doet en laat moet je verder zelf weten.

Bij voorbaat dank.
((U + C + I)x(10 − S)) / 20xAx1 / (1 − sin(F / 10))
President/CEO of Simple Machines - Server Manager
Please do not PM for support - anything else is usually OK.

French

Quote from: CoreISPAha, dus als je het wachtwoord dat je hier gebruikt nergens anders gebruikt, is het volgens jou nog steeds mogelijk dat het wachtwoord vanuit de database van een andere site gejat wordt...?
Nou nee dat bedoel ik er niet mee.
Quote from: CoreISPdan had de admin in kwestie er voor kunnen kiezen om dat wachtwoord ook elders toe te passen
Dat kan nu nog steeds want daar heb je geen controle over.

Sluit deze discussie af met een compromis want eigenlijk heb ik hier geen zin meer in.
Jouw sterke en veilige wachtwoorden en deze om de 2 jaar wijzigen

Het ga je goed kerel  ;)

LiroyvH

Quote
Dat kan nu nog steeds want daar heb je geen controle over.

Zeker, dat kan.
Het punt is echter dat het geforceerd wijzigen van wachtwoorden daar dus verder geen invloed op heeft en derhalve had het verder geen verschil gemaakt in onze situatie. :)
En dan heb ik dus liever dat men sterke wachtwoorden gebruikt, dan zwakke. :)


Quote
Het ga je goed kerel ;)

Idem :)


Fijne dag!
((U + C + I)x(10 − S)) / 20xAx1 / (1 − sin(F / 10))
President/CEO of Simple Machines - Server Manager
Please do not PM for support - anything else is usually OK.

Advertisement: