Door
Ozzie PHP
op 14-10-2014 01:08
gewijzigd op 14-10-2014 01:08
5.125 views
Maandag geha-c-ktdag!
Ik kreeg vandaag een mailtje van m'n hostingprovider met de mededeling dat een van m'n e-mailadressen behoort tot de 1,3 miljoen .nl e-mailadressen die in handen zijn gevallen van hackers.
Mijn hostingprovider vermeldt in de mail dat hun server niet gehackt is, maar dat het een wereldwijde hack betreft op 100.000'en websites. Er wordt geadviseerd om onmiddelijk je wachtwoord te veranderen.
Wat ik dus vreemd vind, is dat je je wachtwoord moet wijzigen. Dit houdt dus in dat mijn wachtwoord mogelijkerwijs gehackt is. Dan vraag ik me af hoe dat kan. De enige plek waar dat wachtwoord is opgeslagen, is toch op de server van mijn hostingprovider? En dan neem ik ook nog aan dat het versleuteld is opgeslagen. Mijn hostingprovider zegt dat hun servers niet gehackt zijn. Hoe zouden die hackers dan aan mijn wachtwoord moeten zijn gekomen? Een man-in-the-middle attack lijkt me dan de enige optie, maar ik ga er vanuit dat mijn gebruikersnaam en wachtwoord over een versleutelde verbinding worden verstuurd. Ik snap dus niet hoe dat zou kunnen. Iemand die hier meer over kan zeggen?
Zie het als je eigen huis. Als iemand echt binnen wil komen lukt het hem toch wel. Misschien met een koevoet of een baksteen door de ruit, desnoods een tank of vrachtwagen. Het lukt hem toch wel. Techniek is naar mijn mening niet anders.
> En dan neem ik ook nog aan dat het versleuteld is opgeslagen.
Aannames zijn dodelijk...
Ik sprak ooit met een webdesigner die een opdracht had gekregen een webshop te bouwen. Persoonlijke gegevens hoefden niet versleuteld opgeslagen te worden. Dat vond de opdrachtgever niet belangrijk. Sterker nog: dat zou betekenen dat het maken van de website langer zou duren en dus meer zou kosten. Althans, in zijn optiek.
Alhoewel dit alweer een aantal jaar geleden is, twijfel ik er niet aan dat er nog steeds hordes van dit soort kansloze types rondlopen. Ik zie ze af en toe zelfs op dit forum verschijnen. ;-)
De afgelopen 15 jaar heb ik aan heel wat sites met een of andere vorm van een registratie gewerkt. Hoewel ik het wel eens opper, heb ik nog nooit een site-eigenaar gezien die slapende accounts wilde verwijderen. Nee, men leeft liever in de waan dat er vijf- of tienduizend geregistreerde gebruikers zijn, zelfs al is tachtig procent daarvan niet actief.
je weet dat het versleuteld wordt opgeslagen, dan hoef je dat toch niet te veranderen? Dat kan toch nooit gebruteforced worden?
Nooit? Zeg nooit nooit. Ik heb een demo van een bekende security consultant bijgewoond die een door mij bedacht totaal onzinnig password van 18 karakters op een Unix server (weliswaar voor het gemak even het root password) binnen 6 uur brute force had gekraakt. Zeg dus nooit: nooit.
>> ... die een door mij bedacht totaal onzinnig password van 18 karakters ...
En was dat dan een woord met vreemde tekens, getallen en hoofdletters? Da's wel heel erg snel. Volgens tests die ik wel eens lees zou dat met zo'n lengte jaaaaren moeten duren. Dat is dan wel heel erg vreemd. En had jij van tevoren aangegeven hoeveel karakters het wachtwoord had?
In real life moet je dus zorgen dat iemand niet oneindig kan blijven proberen zoals in jouw voorbeeld, maar ik vind het toch wel frapant moet ik zeggen...
>> Daar heb je weinig over te zeggen als je server gehackt is. ;-)
Dan moeten ze 'm wel eerst hacken... en aangezien je er dus voor moet zorgen dat "iemand niet oneindig kan blijven proberen" kunnen ze je server ook niet hacken :D
Oke... maar even serieus. Zou jij een server kunnen hacken? Heb jij daar de skills voor?
