Datalek, wat het beste te doen met mijn wachtwoorden?

[the matrix]

Op mijn iphone staan herl veel websites die getroffen zijn door een datalek.
Nu wordt er geadviseerd om daar nieuwe passwords te creëren
Van de meeste weet ik het password meer en moet dus iedere keer vergeten password aanklikken.
Dat is een monnikenwerk en vraag me af of ik die MOET aanpassen.
Bv een drogist, een speelgoedzaak en nog meer van die kul.

Wat kan me gebeuren als ik mijn password toch niet verander en hoe kan ik daarop acteren.

 

[Black Tiger]

Ik heb hem even hier naar toe gemoved met een wat passendere titel, want dit is feitelijk geen nieuws maar een vraag. Een vraag die meerdere mensen zich vaker stellen in zulke situaties.

Mocht jouw wachtwoord bekend zijn, dan kan met met jouw wachtwoord dingen doen die jij ook normaliter op een dergelijke site zou kunnen doen, want men zou dan in principe met jouw wachtwoord kunnen inloggen.
Als er op bepaalde sites bestellingen geplaatst kunnen worden dan zou men feitelijk in jouw naam kunnen bestellen en het elders laten aankomen. Alleen de betaling moeten ze dan natuurlijk wel zelf doen.
Het kan je echter dan wel een slechte naam bezorgen.

Als het niet van echt belangrijke sites is, moet je dat natuurlijk zelf weten. Van moeten is geen sprake het is een advies.

Maar ik zou zeker van belangrijke zaken het wachtwoord wijzigen daar waar nodig, bijv. een shop waarbij je creditcard of bankrekening met je paypal account gekoppeld zijn, dus alles waar je mee betaald.
Voor de niet of minder belangrijke zaken moet je het zelf weten. Je kunt het wel doen maar bijvoorbeeld op het gemakkie. Je hoeft het immers niet allemaal in 1x te doen maar kunt dat wel over een periode uitsmeren.

 

[the matrix]

Thanks ik ga het lijstje af en pak eerst de belangrijkste websites aan.
Goed advirs BT!

 

[Peer]

Alleen de betaling moeten ze dan natuurlijk wel zelf doen.

Daar kunnen ze in principe ook afterpay voor gebruiken. En dan gaat de uiteindelijke rekening naar degene van wie het account is.

 

[eendenteam]

En vergeet niet - indien mogelijk - aan te zetten:

tweestaps-authenticatie

 

[Dr.Z]

En vergeet niet - indien mogelijk - aan te zetten:

tweestaps-authenticatie

Eh, pas hier heel goed mee op!! Recentelijk is dit systeem omzeild en alle daaraan gekoppelde diensten ben je definitief kwijt wanneer de dief dit in handen krijgt.
...en dat krijgen zij!
Via een slimme hack kunnen zij ook het telefoonnummer in handen krijgen, en alles wordt netjes uit het apparaat gehengeld.
Gewoon pen en papier voor de wachtwoorden en een dubbele backup maken op losse schijven.

 

[Black Tiger]

Via een slimme hack kunnen zij ook het telefoonnummer in handen krijgen, en alles wordt netjes uit het apparaat gehengeld.

Dan moet wel eerst je apparaat gehacked worden, want er zal geen verificatie naar een gespoofed nummer gezonden worden.
Overigens zijn er meerdere methode's zoals authenticatie apps of via e-mail.
Het is in elk geval nog altijd veiliger dan zonder tweestaps, want als ze dan je wachtwoord hebben ben je sowieso alles kwijt.

 

[Dr.Z]

want er zal geen verificatie naar een gespoofed nummer gezonden worden.

Nou, wel dus!!

 

[Black Tiger]

Nou, wel dus!!

Sorry maar dat geloof ik niet! Want je kunt een nummer wel uitgaand spoofen maar niet inkomend. Zelfs als je het imei nummer gaat klonen en op die manier het nummer cloned heb je dus nog altijd 2 dezelfde telefoonnummers dan op het netwerk. Dat gaat geheid meldingen geven.
Man in the middle attack via SMS maar dan moet je al malware op de eigenaar's telefoon hebben EN het wachtwoord weten.
Of je moet iemand bij het telefoonbedrijf omkopen om het nummer om te routen. Op die manier is het dan wel mogelijk, maar dat is het dan ook wel. Erg omslachtig dus.
Inkomende nummer spoofing nog nooit gezien, niet zonder hulp van een telecom medewerker, onmogelijk.

 

[Peer]

Of je moet iemand bij het telefoonbedrijf omkopen om het nummer om te routen. Op die manier is het dan wel

Dat is iets wat ook al eens is gebeurt, ik meen bij T-Mobile. Als ik het niet vergeet zal ik vanavond het artikel eens zoeken.

 

[Dr.Z]

@Black Tiger , er zijn hele gekke dingen mogelijk en het telefoonnummer kan tijdelijk gekaapt worden, of zelfs permanent.
Afgelopen kerst heb ik dus zoiets meegemaakt en hoe het gebeurt is mij tot nu toe een raadsel.
Feit is dat er met een enkel mailtje een compleet account is gehackt,inclusief telefoonnummer en diegene die het mailtje heeft aangeklikt of beantwoord had, hoe kan het ook anders, was het eigenwijze pubertje van 13-14 die het allemaal beter weet.
Mail was niet meer te benaderen, de cloud was verdwenen met alle data en het telefoonnummer werkte wel, maar dus niet meer als tweetraps op het betreffende account.
Het mooie was dat het op google-mail account (gmail) later ook een mailtje binnen kwam, maar toen was ik al ter plaatse en heb alles geblokkeerd, ook de bank ingelicht en diverse andere zaken die voor het familiebedrijf belangrijk was.
Klanten en bekenden van de familie kregen direct spam binnen, wat elders is opgevangen.

Tegenwoordig zit er geen mens meer achter maar bots en het gaat razendsnel. Er komt geen mensenhand meer aan te pas om iemands geld afhandig te maken.
..enne, het kwam uit Rusland.

 

[Black Tiger]

ik meen bij T-Mobile.

Dat meen ik ook, maar dat is wat ik bedoel, dan ga je in het netwerk wijzigen, zelf inkomend spoofen van telefoonnummers is gewoon onmogelijk.

@Dr.Z een nummer kan niet zomaar gekaapt worden, zoals ik al zei dan moet dat via malware op de telefoon gaan en/of via een medewerker bij een telefoonmaatschappij.
Malware lijkt dan nog het gemakkelijkst. En zo zal dat dan ook wel gegaan zijn met dat mailtje.

Mobiel is per definitie een probleem. Waarom? Omdat je bijna niets ziet. Mijn dochter kreeg een mail van Microsoft dat ze haar live.nl account moest gebruiken en het anders gesloten werd, ze kon op een knopje drukken om het account actief te houden.
Ze klaagde bij mij dat ze dat account (ondanks erg oud) toch nog regelmatig gebruikte en wat ze moest, dus ik gelijk van "nergens aan komen" maar ze had al geklikt. Na zelf controleren op de PC bleek dat er gelukkig alleen een mail ergens naar toe gestuurd werd. Het geval was dat ze een aantal dagen overspoeld werd met spam, maar het had erger gekund.

Probleem met mobiel is dat je niet zoals met de muis op een knopje of link kunt gaan staan zonder te klikken, om te zien waar die knop of die link naar toe gaat.
Op de PC in de webmail hoefde ik in dit geval zelfs niet eens de muis erbij te houden maar zag meteen de link onder de knop. Dit is een enorme tekortkoming bij mobiele telefoon. V.w.b. beveiliging zouden ze moeten beginnen daar iets aan te doen, dat mensen kunnen controleren waar links of knopjes je naar toe sturen, voordat je meteen verder gaat. Misschien een optie maken dat je met enkele vingerklik de link ziet en pas met dubbelklikken echt gebruik maakt van een link.
Ondanks dat feit maakt de jongere generatie (inmiddels ook al tussen 30 en 40) bijna alleen nog gebruik van mobiel en tablets en klikken veel te snel op dingen, waardoor het probleem toch hoog zal blijven.

Het is gewoon een bewijs dat er veel meer gedaan moet worden ter beveiliging van de zaken die op de telefoon gebeuren.
En gezien een telefoon net zo gevoelig is voor malware als een PC, blijft dit een groot probleem.
Hoe dan ook is en blijft 2-factor authenticatie veel beter dan alleen een wachtwoord.
Ik zie met grote zorg de nieuwe wachtwoordloze techniek tegemoet.

 

[Black Tiger]

@Dr.Z had die 13 jarige toevallig een Apple?
Ik kreeg toevallig net dit bericht binnen. Ook belangrijk voor andere iOs en MAC bezitters.

 

[Peer]

Dat meen ik ook, maar dat is wat ik bedoel, dan ga je in het netwerk wijzigen, zelf inkomend spoofen van telefoonnummers is gewoon onmogelijk.

Het gaat dan om sim swapping.

Klanten T-Mobile slachtoffer van SIM Swapping - VPNGids.nl

Een onbekend aantal Amerikaanse klanten van T-Mobile is het slachtoffer geworden van SIM Swapping.

www.vpngids.nl

 

[Dr.Z]

@Black Tiger , inderdaad allemaal apple gebruikers.

 

[Black Tiger]

Het gaat dan om sim swapping.

Exact, medewerking nodig van een Telecom medewerker, op welke manier dan ook... net wat ik zei.

 

[Peer]

Die medewerking kan worden verkregen door je voor te doen als de eigenaar van het nummer met behulp van gelekte persoonlijke gegevens. Nu heb ik van KPN begrepen dat zij een nieuwe simkaart uitsluitend naar het bij hun bekende adres zullen sturen. Ik heb alleen geen idee of met de juiste gelekte gegevens een valse adreswijziging doorgegeven kan worden.

 

[sat-ed]

Nu heb ik van KPN begrepen dat zij een nieuwe simkaart uitsluitend naar het bij hun bekende adres zullen sturen.

als de persoons gegevens bekent zijn dan vissen ze die uit de brieven bus
zelfde als de geknipte pin passen die naar een adres worden gestuurd.

het maakt niet uit wat het is
gegevens of spullen
als er iemand veel werk in wil steken zal die het uiteindelijk in handen krijgen.
het enigste wat je naar mijn id als burger kunt doen is het die personen zo lastig mogelijk maken zodat ze het misschien opgeven te proberen

 

[Dr.Z]

Jullie vergeten dat de servers van telecomproviders gehackt kunnen worden en zonder tussenkomst van een medewerker simkaarten op andere toestellen gekoppeld kunnen worden, of zelfs (tijdelijk) overgezet zodat de hacker "iets" kan doen.
Het nummer word na de daad direct weer teruggezet om geen argwaan te wekken en onderzoeken in gang te zetten.
Nogmaals, het woordje "kunnen" staat er tussen en zoals ik het nu min of meer verzin, zo kan het ook in de praktijk worden gebracht.... als het al niet zover is.
Niemand weet wat er nog aan het licht gaat komen.

 

[Black Tiger]

Jullie vergeten dat de servers van telecomproviders gehackt kunnen worden

Neen dat vergeten we niet, maar dat is vooralsnog theorie. Als dit niet afdoende afgeschermd is dan is dit theoretisch natuurlijk mogelijk.
Maar we hebben het hier over wat de beste bescherming is, niet wat er theoretisch mogelijk is. Want als je daar aan gaat denken is gewoon geen enkele digitale methode veilig, of het nu een SMS is of een authenticatie app of een e-mail.
En zelfs papier of een simkaart die naar iemand thuis wordt gestuurd want zelfs de postbode kun je onderscheppen, is ook wel eens met brieven van de bank gebeurt met nieuwe bankpasjes.

Dus we moeten binnen het redelijke blijven zoeken naar de beste oplossingen en wat er dan ook mogelijk is, dan is en blijft op dit moment 2-factor authenticatie het beste.
Straks als het verbeterd is en bij meer dingen mogelijk ook misschien een vingerafdruk en/of gezichtsherkenning, maar vergeet niet dat die gegevens ook ergens opgeslagen worden en in theorie dus ook gevoelig voor hacken.