Welkom op Zeg maar Yes!

Waar het Yesforum stopte gaan wij door. Meld je nu ook aan en klets mee! Om deel te nemen aan een discussie op het forum moet je jezelf registreren. Hier kun je kletsen over alles wat je bezig houdt. Je kunt een discussie starten of reageren op andere topics. Wanneer je een nieuw topic opent, zorg er dan voor dat je dit in de juiste pijler doet, anders heb je kans dat deze door een van de burgemeesters wordt verplaatst. Zorg er ook voor dat je je aan de regels houdt. Deze kun je teruglezen in de Moderatortopics. Vragen of klachten over een topic? Stel of meld deze dan in het moderatortopic van de desbetreffende pijler of via de button met het uitroepteken in het topic zelf. Daarnaast kun je de burgemeesters ook een PM of een mail sturen naar het mailadres: zegmaaryes@gmail.com. Veel forumplezier!  


Wachtwoorden

<<

ellibre

Kwebbel

Berichten: 362

Geregistreerd: 01 Sep 2013 13:23

Bericht 01 Sep 2013 20:25

Wachtwoorden

Ik zag een aantal vragen over wachtwoorden langs komen, en een stellige ontkenning van Burgemeester Nicky op de vraag of iemand deze wachtwoorden zou kunnen inzien. Het is bij een forum, in elk geval zoals het nieuwe forum hier, wel degelijk mogelijk om een groot aantal wachten in te zien als je toegang hebt tot de onderliggende database. Ik zal even proberen zo simpel mogelijk uit te leggen hoe dat werkt:

Dit forum is een standaard forum dat iedereen kan downloaden en installeren, via www.phpbb.com. Deze software download je van die site en installeer je vervolgens op je eigen server. Zodra het forum geinstalleerd en actief is worden er continu nieuwe dingen op het forum aangemaakt, aangepast en verwijderd, bijvoorbeeld gebruikersaccounts en berichten. Al deze informatie wordt opgeslagen in een database. Elk forum werkt op deze manier, zonder database kan een forum niet functioneren.

Ook wachtwoorden worden in deze database opgeslagen. Om te voorkomen dat kwaadwillenden deze wachtwoorden kunnen inzien worden deze wachtwoorden versleuteld/gecodeerd opgeslagen. Het wachtwoord wordt omgezet in een zogeheten MD5 hash. Dat ziet er als volgt uit bij het fictieve wachtwoord "forum":

bbdbe444288550204c968fe7002a97a9

Aan deze MD5 hash kun je in principe niet zien wat het oorspronkelijke wachtwoord was. Er bestaan echter hele krachtige software die deze MD5 hash weer kan omzetten in het oorspronkelijke woord. Hier zijn ook websites voor, bijvoorbeeld http://www.md5decrypter.co.uk/ . Als je daar bovenstaande code invoert, zul je zien dat hij hem omzet naar het woord "forum".

Deze gecodeerde wachtwoorden zijn gekoppeld aan gebruikersnamen in de database. Iemand die weet waar hij moet zoeken en toegang heeft tot de server waarop het forum is geinstalleerd, bijvoorbeeld omdat hij of zij de eigenaar is, kan een complete lijst met alle gebruikersnamen en gecodeerde wachtwoorden uit deze database halen. Vervolgens kan diegene proberen om, met behulp van software of met een website zoals die hierboven, proberen om de gecodeerde wachtwoorden weer om te zetten naar echte wachtwoorden.

Betekent dit dat alle wachtwoorden onveilig zijn? Nee, dat is niet het geval. Een MD5 hash is in principe heel erg moeilijk te kraken. Het probleem is echter dat ieder woord altijd hetzelfde gecodeerd wordt. Als 100 mensen hier als wachtwoord "forum" hebben, wordt dat dus 100x gecodeerd zoals hierboven. Die decodeer-software en -websites doen in feite niets anders dan in een hele grote lijst met bekende MD5 hashes kijken of de MD5 hash die je wil ontcijferen daarin voor komt. Zo ja, dan kan hij hem omzetten in het oorspronkelijke woord. Onveilige wachtwoorden zijn dus wachtwoorden die makkelijk en voor de hand liggend zijn. Daarbij maakt het niet uit of je wachtwoord iets met jou te maken heeft of niet. Het gaat immers niet om raden, maar om het zoeken naar een code die misschien vaker voor komt.

Het goede nieuws is dat je het zelf zo goed als onmogelijk kunt maken om je wachtwoord te laten ontcijferen. De MD5 hash wordt beinvloed door alles wat onderdeel uitmaakt van je wachtwoord: grote letters, kleine letters, cijfers, leestekens. In de praktijk betekent dit dat de wachtwoorden "forum", "Forum" en "ForuM" allemaal anders gecodeerd worden. Een veilig wachtwoord bevat hoofdletters, kleine letters, cijfers EN leestekens. Bijvoorbeeld, fOrum71#. Daarbij geldt ook dat wachtwoorden van 8 tekens of meer veiliger zijn dan kortere wachtwoorden.

Dan nog even over het oude forum: ik weet niet of het daar mogelijk was om een kopie van het hele forum te downloaden, door de administrator. Zo ja, dan zou zij theoretisch een kopie van de database moeten kunnen downloaden en met de juiste kennis de opgeslagen gebruikersnamen en wachtwoorden moeten kunnen vinden. Zoals gezegd weet ik niet of dat het geval is. Ik weet wel 100% zeker dat dit bij het nieuwe forum mogelijk is.

Ik zou dus sowieso iedereen aanbevelen om je wachtwoord te veranderen, en voor fora andere wachtwoorden te gebruiken dan voor belangrijke dingen zoals je DigiD.
<<

ellibre

Kwebbel

Berichten: 362

Geregistreerd: 01 Sep 2013 13:23

Bericht 01 Sep 2013 20:40

Re: Wachtwoorden

Dit geldt trouwens voor alle fora. En als je een wachtwoord hebt zonder cijfers, leestekens en/of hoofdletters op andere plaatsen dan aan het begin hebt is het gecodeerde wachtwoord bijna altijd te ontcijferen. Het kost een beetje moeite, maar het kan wel.
<<

Burgemeester Nicky

Gebruikers-avatar

Site Admin

Berichten: 5084

Geregistreerd: 31 Aug 2013 17:30

Bericht 01 Sep 2013 21:00

Re: Wachtwoorden

Wat je zegt klopt, echter heeft een beheerder bij Actieforum geen directe toegang tot de database en dus ook niet tot de versleutelde wachtwoorden. Dus in ons geval is er geen kans dat de vorige eigenaresse van het forum wachtwoorden kan verkrijgen/opvragen/ontsleutelen.

Actieforum zelf zou hier wel toegang tot hebben, maar de kans is klein dat zij hier iets mee doen.

Wachtwoorden ontsleutelen is alleen dus mogelijk met directe database toegang en in het geval mensen een 'makkelijk' wachtwoord gebruiken (zoals een woord uit een woordenboek of een combinatie van getallen).
<<

ellibre

Kwebbel

Berichten: 362

Geregistreerd: 01 Sep 2013 13:23

Bericht 01 Sep 2013 21:06

Re: Wachtwoorden

Ok, goed om te weten dat dit bij actieforum niet kan!
<<

Anoniem 63

Bericht 01 Sep 2013 21:16

Re: Wachtwoorden

Goed om te weten zeg!
<<

PiP

Gebruikers-avatar

Yipyapper

Berichten: 1578

Geregistreerd: 01 Sep 2013 20:43

Bericht 01 Sep 2013 22:45

Re: Wachtwoorden

Wachtwoord gewijzigd :D
December 2009
juli 2012
<<

Liz

Gebruikers-avatar

Kwebbel

Berichten: 436

Geregistreerd: 01 Sep 2013 15:52

Bericht 02 Sep 2013 00:50

Re: Wachtwoorden

Thanks voor deze informatie! Heb ook mijn wachtwoord gewijzigd.
Afbeelding
<<

Anoniem173

Bericht 02 Sep 2013 06:30

Re: Wachtwoorden

Liz schreef:Thanks voor deze informatie! Heb ook mijn wachtwoord gewijzigd.


Ik ook en ook maar gelijk op het oude forum..

Terug naar Forumzaken

Wie is er online?

Gebruikers in dit forum: Geen geregistreerde gebruikers